包含脸书、LinkedIn、推特等4800万笔用户资料被曝露于未上锁的Amazon S3上

UpGuard

社群网站资料风险再现！研究人员发现一家小型资料公司在未经使用者同意情况下蒐集包括脸书、LinkedIn、推特及不动产网站等服务用户高达4800 万笔资讯，而且储存于未设防的Amazon S3储存服务上。

创立于2010年的LocalBlox自称为第一家全球客户智慧平台，是「唯一可结合个人工作及私人生活资讯以产生统合性分析智慧」的业者。该公司从许多公开资料源，包括社交网站及公开网站上以自动化工具大量蒐集、汇整及验证个人及企业资料，当然这个过程并未经用户同意。

然而安全公司UpGuard研究人员Chris Vickery今年2月发现Amazon S3 资料库名为lbdumps的子网域内的压缩档。经过解压缩分析，发现总量1.2TB的资料属于LocalBlox，内容即为该公司蒐集来自各大社群网站，高达4800万笔的用户资料。由于这个资料库未设密码防护，因而有心人士可经由公开网路循路径存取下载。

外洩内容型态林林总总，涵括用户姓名、住家地址、生日、LinkedIn历任工作纪录、脸书公开资讯及推特用户暱称等，此外还有来自Zillow的资讯。除了脸书、推特、LinkedIn等公开网站资料，这批资料可能还包括从小额信贷公司等业者卖给行销人员的用户名单，甚至前夫／妻、男／女友。

研判这个资料库经由追蹤用户IP位址，并比对蒐集到的资料，能提供该IP主人的完整行为模型及背景。研究人员特别以脸书为例指出，在这个资料库内几乎可以找到完整的用户资料，从名称、电子邮件、照片、技能、就职公司、现任职位、家人资讯及上次更新活动等等应有尽有。

经研究人员通报后，这家资料分析公司当天就将资料库加上密码保护。但研究人员提醒，此事发生在脸书近日的资料外洩风暴后，再次突显使用社群网站的风险：脸书等知名网站的资料往往是想从中谋利的人眼中的宝藏，透过大量资料集结，将用户身份及行为模式的交互分析，就能让他人反过来影响并操弄用户。