Facebook最近發現黑客可通過其流動網站大量收集電話號碼,因此限制用戶搜尋電話號碼的次數。Facebook於網站發表聲明,聲稱有關問題並非程式錯誤。根據Facebook用戶私穩設定的預設值,任何人都可以利用你所提供的電郵地址、電話號碼及其他聯絡資料來搜尋你的個人資訊。用戶可以隨時在Facebook的私隱設定頁面更改有關設定。
上周一間獨立安全研究機構公開披露濫用Facebook電話搜尋功能的方法,不法之徒只要隨機產生大量電話號碼,便可以大量收集用戶資料。Facebook要求用戶為其帳戶設定附屬的電話號碼才可使用多項額外功能,包括可加強帳戶安全的雙因子驗證選項。此外,Facebook網站亦讓用戶利用電話號碼搜尋其擁有者的個人資料。
然而,以往Facebook未有限制用戶的搜尋次數,因此不法之徒可隨機產生數以千計的電話號碼,再利用Facebook網站的搜尋功能來找出這些號碼是否附屬於Facebook帳戶。他們可根據所找到的電話號碼來獲取有關用戶的Facebook個人資料,然後建立一個電話號碼資料庫,再出售予廣告商圖利,甚至用以進行電話詐騙。該獨立安全研究機構公開有關消息後,其他安全研究公司分別進行驗證,證實了漏洞確實存在。Facebook雖然宣稱已解決該問題,但若有類似的漏洞,Symantec提出以下解決方案:
Symantec解決方案:
縱使Facebook宣稱有關問題並非程式錯誤,Symantec香港系統工程經理李輝建議下列解決方案下列方案有助防止不法之徒在類似情況下通過應用程式採集敏感資訊。
- DLP Network Prevent:防止敏感數據通過電郵、即時訊息、網站及FTP從企業網絡流出。
- DLP Endpoint Prevent:阻止檔案下載至近端儲存裝置;複製至USB或其他可卸除式儲存裝置;燒錄至光碟;通過電郵、即時訊息、HTTP/HTTPS或FTP傳送;複製及貼上;列印或通過電子傳真方式外洩。
- SPS Enterprise Edition for Servers內置的Critical System Protection (CSP):通過基於政策的保護措施來加強伺服器防護,防止未獲授權人士及應用程式獲取敏感資訊或修改系統登錄項目。CSP亦可預防受保護伺服器內的數據被移離伺服器以外。CSP亦可封鎖伺服器操作系統,阻止攻擊者通過破壞操作系統來入侵應用程式。
- Security Advisory Services:該服務團隊可為網站及網絡應用程式進行外部漏洞評估及滲透測試,以辨別及修補任何漏洞。
欲了解更多相信詳情,請瀏覽www.symantec.com,或登入go.symantec.com/socialmedia與Symantec作深入交流。