Facebook20億用戶數(shù)據(jù)可能泄露 扎克伯格如何應(yīng)對

扎克伯格明確表示，他不打算辭去首席執(zhí)行官職務(wù)。到目前為止，他也還沒有開除過任何一個(gè)人，并認(rèn)為最終責(zé)任在他自己?！安徽撊绾?，這是我的責(zé)任，我開創(chuàng)了Facebook，我運(yùn)營它，我負(fù)責(zé)?！薄拔也粫褎e人抓來背黑鍋?！?/p>

Facebook昨天扔下一顆重磅炸彈：CTO Mike Schroepfer表示，經(jīng)公司調(diào)查，Cambridge Analytica數(shù)據(jù)濫用影響不是最先估計(jì)的5000萬人，至少有8700萬用戶信息被不當(dāng)收集。此外，F(xiàn)acebook 20億用戶中的大多數(shù)，都可能因?yàn)槠渌阉鞴δ艿囊粋€(gè)默認(rèn)設(shè)置，而被惡意使用者獲取了個(gè)人數(shù)據(jù)。

一波未平一波又起：Facebook CTO Mike Schroepfer在4月4日扔下一顆重磅炸彈，揭露的驚人消息，幾乎肯定會讓已經(jīng)深陷泥沼的Facebook更加不能自拔，同時(shí)，也讓信息時(shí)代個(gè)人隱私危機(jī)蒙上更厚重的陰影。

Mike Schroepfer在一篇博客文章中稱，F(xiàn)acebook的20億用戶中的大多數(shù)，可能都已經(jīng)被“惡意行為者”（malicious actors）非法獲取了個(gè)人數(shù)據(jù)，具體的方法是通過Facebook的一個(gè)搜索功能。

這個(gè)功能允許任何人通過僅搜索某個(gè)用戶的電話號碼或電子郵件地址，查找用戶的公開Facebook個(gè)人資料信息，包括性別和出生日期等信息。惡意行為者通過這種反向搜索，找到用戶的個(gè)人資料頁面，從而非法獲取數(shù)據(jù)。

Facebook表示，公司已經(jīng)在其網(wǎng)站的搜索功能中禁用了這項(xiàng)子功能，但已經(jīng)有如此多的用戶數(shù)據(jù)可能遭到侵害，無疑讓這一全球最大社交網(wǎng)絡(luò)努力恢復(fù)用戶信心再次遭遇挫折。

“在過去的幾年中，如果你有這樣的設(shè)置，那么很可能有人訪問了你的信息，”Facebook首席執(zhí)行官馬克扎克伯格在周三與記者的電話會議上說。

不僅如此，在Cambridge Analytica事件中，最初估計(jì)有5000萬用戶受影響，但經(jīng)Facebook調(diào)查，這個(gè)數(shù)字比以前的估計(jì)值要大得多——高達(dá)8,700萬用戶。

Cambridge Analytica事件在這里就不多贅述了。數(shù)據(jù)分析公司Cambridge Analytica通過一位大學(xué)研究人員編寫的應(yīng)用程序，收集大量Facebook用戶的數(shù)據(jù)。雖然實(shí)際上只有27萬用戶安裝了這款應(yīng)用程序，但由于當(dāng)時(shí)Facebook的數(shù)據(jù)共享政策，這款應(yīng)用程序收集到了更多的用戶數(shù)據(jù)。

最初的估計(jì)是，該應(yīng)用程序收集了大約5000萬Facebook用戶的數(shù)據(jù)。但Schroepfer將這一數(shù)字上調(diào)了74％，達(dá)到8700萬人。

通過Facebook拿到你的私人手機(jī)號？其實(shí)真的很容易

上個(gè)月，Medium用戶Inti De Ceukelaire發(fā)表了一篇文章，“介紹”如何針對Facebook的搜索功能設(shè)置，獲取他人的私人電話號碼。

關(guān)鍵是，F(xiàn)acebook的這些設(shè)置，不禁讓我們想起了很多身邊熟悉的應(yīng)用，也有幾乎相同的設(shè)置。

Inti De Ceukelaire在研究的過程中，發(fā)現(xiàn)了一些比利時(shí)明星和政治家的電話號碼，雖然他使用的這種方法似乎只能在類似比利時(shí)這樣的小型國家（1120萬人左右）奏效，但這也表明，這種簡單且高效的攻擊，仍然會讓大量用戶的隱私信息發(fā)生泄漏。

各種被發(fā)現(xiàn)的電話號碼

當(dāng)“who can look me up by phone（通過手機(jī)號碼查找到我）”這個(gè)選項(xiàng)被設(shè)置為“公開”時(shí)，你的電話號碼就會被Facebook公開。

值得一提的是，這個(gè)選項(xiàng)是默認(rèn)“public（公開）”；其次，雖然用戶可以將個(gè)人資料中的電話號碼設(shè)置為“only me（僅對自己看見），但如果用戶設(shè)置能夠“通過手機(jī)號碼查找到我”，那么這個(gè)“only me”設(shè)置便會失效。

Who can look me up by phone（通過手機(jī)號碼查找到我）選項(xiàng)

這個(gè)設(shè)置只能決定你的電話號碼是否會出現(xiàn)在個(gè)人資料中，而你的電話號碼是否會被公開其實(shí)跟這個(gè)設(shè)置沒多大關(guān)系。

很多用戶可能會認(rèn)為自己的電話號碼他人是看不見的，而事實(shí)并非如此。

很多用戶根本不知道Facebook有他們的電話號碼，雖然Facebook不能直接從用戶的手機(jī)中提取出電話號碼，但Facebook會不斷提醒用戶綁定手機(jī)號，為了方便登錄和密碼找回。

頗為諷刺：雖然Facebook不能直接從你的手機(jī)中提取出電話號碼，但是Facebook會不斷地提醒用戶綁定手機(jī)號

De Ceukelaire進(jìn)行了一系列實(shí)驗(yàn)，最終得出結(jié)論是，如果你的Facebook綁定了手機(jī)號，那么你就沒有任何辦法隱藏自己的手機(jī)號碼，無論你怎樣做，你的“朋友”都能夠看到你的號碼。

但是，當(dāng)他把這一發(fā)現(xiàn)告知Facebook安全團(tuán)隊(duì)后，得到的答復(fù)不免讓人有些吃驚，簡單說，F(xiàn)acebook（至少在當(dāng)時(shí)）不認(rèn)為這是一個(gè)安全問題。

接著，Inti De Ceukelaire描述了他如何使用Facebook在2013年初推出的一款社交搜索工具Graph Search，結(jié)合其他一些并不復(fù)雜的手段，通過反向搜索，最終得到Facebook用戶私人電話號碼的方法。

Facebook將在全球范圍執(zhí)行史上最嚴(yán)隱私保護(hù)條例

扎克伯格昨天在電話會議上承諾，F(xiàn)acebook將在全球范圍使用歐盟“通用數(shù)據(jù)保護(hù)條例”（GDPR）。扎克伯格說：“總的來說我認(rèn)為這樣的規(guī)定是非常積極的。我們將在所有地區(qū)遵守這一條例，不僅是在歐洲。”

GDPR被認(rèn)為是史上最嚴(yán)的用戶數(shù)據(jù)和隱私保護(hù)條例，該條例經(jīng)歐盟投票和商討四年之久，于2016年4月14日出臺，包括 91 個(gè)條文，共計(jì) 204 頁。GDPR 將于 5 月 25 日生效，并將要求數(shù)據(jù)管理者（data controller）向用戶解釋他們打算收集的個(gè)人數(shù)據(jù)以及原因。

根據(jù)TechCrunch的報(bào)道，F(xiàn)acebook計(jì)劃實(shí)施自定義受眾認(rèn)證工具（Custom Audiences Certification Tool），該工具將要求企業(yè)保證他們?yōu)閺V告定向上傳到Facebook用戶電子郵件地址和電話號碼已經(jīng)獲得用戶準(zhǔn)許。

Facebook CTO Mike Schroepfer在博客中詳細(xì)介紹了新的第三方用戶信息權(quán)限，包括9大變化：

EventsAPI：此前，人們可以授予應(yīng)用獲取關(guān)于他們主持或參加的活動(dòng)信息的權(quán)限，包括私人活動(dòng)。這樣就能很容易地將Facebook活動(dòng)添加到日歷、票務(wù)或其他應(yīng)用程序。但是，F(xiàn)acebook活動(dòng)包含有關(guān)其他人的出席信息以及留言板上的帖子，所以確保應(yīng)用程序正確使用其訪問權(quán)非常重要。從今天開始，使用該API的app將不再能夠訪問其他人的出席信息或發(fā)布在留言板上的活動(dòng)信息。而且未來將只有Facebook批準(zhǔn)的、同意嚴(yán)格要求的app才可以使用Events API。

Groups API：目前，應(yīng)用程序需要 Groups 的管理員或成員的權(quán)限才能訪問封閉組的內(nèi)容，以及需要管理員的同意才能訪問對私密組。 這些應(yīng)用程序可幫助管理員輕松發(fā)布和回復(fù)組內(nèi)的帖子。 但是，我們希望確保更好地保護(hù)群組中的成員和對話信息。未來，使用Groups API的所有第三方應(yīng)用程序都需要Facebook和管理員的批準(zhǔn)，以確保他們不損害群組。應(yīng)用程序?qū)⒉辉倌軌蛟L問組內(nèi)成員列表。此外，我們還刪除了應(yīng)用程序可以訪問的帖子或評論的個(gè)人信息，例如姓名和個(gè)人資料照片。

Pages API：此前，任何應(yīng)用程序都可以使用Pages API從任何頁面讀取帖子或評論。這允許開發(fā)人員為頁面所有者創(chuàng)建工具，幫助他們完成日程安排、發(fā)帖和回復(fù)評論等。但這也讓應(yīng)用程序得以訪問更多的數(shù)據(jù)。我們希望確保網(wǎng)頁信息僅適用于向社區(qū)提供有用服務(wù)的應(yīng)用程序。 因此，從今天開始，所有對Pages API的訪問都需要得到Facebook的批準(zhǔn)。

Facebook登錄：兩周前我們宣布了對Facebook登錄進(jìn)行重大更改。從今天開始，F(xiàn)acebook將需要批準(zhǔn)所有需要訪問信息的應(yīng)用，例如登入，喜歡，照片，帖子，視頻，活動(dòng)和群組。我們在2014年開始批準(zhǔn)這些權(quán)限，但現(xiàn)在我們正在收緊審查流程，要求這些應(yīng)用程序在訪問此數(shù)據(jù)之前同意嚴(yán)格的要求。我們也將不再允許應(yīng)用程序訪問個(gè)人信息，如宗教或政治觀點(diǎn)，關(guān)系狀態(tài)，自定義朋友列表，教育和工作歷史，健身活動(dòng)，閱讀活動(dòng)，音樂聆聽活動(dòng)，新聞閱讀，視頻等的觀看活動(dòng)和游戲活動(dòng)。在接下來的一周中，如果過去3個(gè)月內(nèi)用戶沒有使用該應(yīng)用，我們將會取消開發(fā)人員請求獲取這些數(shù)據(jù)的能力。

Instagram Platform API：我們宣布今天起棄用Instagram Platform API。

搜索和帳戶恢復(fù)：此前，用戶可以將其他人的電話號碼或電子郵件地址輸入到Facebook搜索中以幫助找到他們。這對于在不知道全名或相同名字的人太多時(shí)，找到你的朋友特別有用。例如，在孟加拉國，這一功能占所有搜索的7％。但是，惡意行為者會濫用這一功能，通過輸入他們已經(jīng)通過搜索和帳戶恢復(fù)獲得的電話號碼或電子郵件地址來獲取公開的個(gè)人資料信息。鑒于我們發(fā)現(xiàn)這種濫用的規(guī)模之大和復(fù)雜性，我們認(rèn)為Facebook上的大多數(shù)人可能已經(jīng)以這種方式泄露了他們的公開個(gè)人信息。所以，我們現(xiàn)在禁用了這個(gè)功能。我們還對帳戶恢復(fù)進(jìn)行了更改，以降低泄露信息的風(fēng)險(xiǎn)。

呼叫和文本歷史記錄：呼叫和文本歷史記錄是Android上使用Messenger或Facebook Lite的用戶可以選擇的功能。這意味著我們可以在聯(lián)系人列表頂部顯示最常聯(lián)系的人。我們已審核此功能，以確認(rèn)Facebook不收集郵件內(nèi)容，并且會刪除所有超過一年的日志。將來，客戶端只會向我們的服務(wù)器上傳提供此功能所需的信息，而不提供更廣泛的數(shù)據(jù)，例如通話時(shí)間。

數(shù)據(jù)提供商和 Partner Categories：上周我們宣布關(guān)閉了 Partner Categories的功能，該功能可讓第三方數(shù)據(jù)提供商直接在Facebook上提供廣告定向。

App控制：最后，從4月9日開始，我們會在用戶新聞Feed的頂部顯示一個(gè)鏈接，以便他們可以查看他們使用的所有App，以及他們與這些App共享的信息。用戶也可以刪除他們不再需要的App。鏈接里也會告訴每位用戶他們的信息是否可能已經(jīng)被Cambridge Analytica不正當(dāng)獲取。

用戶通知的預(yù)覽

總的來說，我們認(rèn)為高達(dá)8700萬人（主要在美國）的Facebook信息可能已經(jīng)被Cambridge Analytica公司不正當(dāng)?shù)毓蚕怼?/p>

個(gè)人數(shù)據(jù)被Cambridge Analytica公司不正當(dāng)獲取的用戶來源

總體而言，我們相信這些變化將更好地保護(hù)人們的信息，同時(shí)允許開發(fā)人員創(chuàng)造有用的體驗(yàn)。我們知道我們需要做更多的工作，并且今后在實(shí)行更多更改時(shí)，我們會隨時(shí)通過官方博客更新。

扎克伯格：不打算辭職，我開創(chuàng)了Facebook，我運(yùn)營它，我負(fù)責(zé)

Facebook CTO Mike Schroepfe的宣布，發(fā)生在扎克伯格預(yù)計(jì)召開記者電話會議前的一小時(shí)。

時(shí)機(jī)選得有些巧妙。

但一小時(shí)的時(shí)間已經(jīng)足以讓人充分體會事情已經(jīng)變得有多糟糕。用戶、業(yè)界和監(jiān)管者的口誅筆伐不斷升級。之前有科技投資者公開指出，扎克伯格應(yīng)該辭職，讓COO桑德伯格上位。盡管如此，扎克伯格仍然表示，他認(rèn)為自己是掌管Facebook的最佳人選。

“生活就是從錯(cuò)誤中吸取教訓(xùn)，”扎克伯格周三在與記者的電話會議中說： “不論如何，這是我的責(zé)任，我開創(chuàng)了Facebook，我運(yùn)營它，我負(fù)責(zé)?！?/p>

扎克伯格表示，F(xiàn)acebook等到周三才公布8700萬這一數(shù)據(jù)，是因?yàn)橄Ｍ皬氐着迩闆r”，“讓你們有一個(gè)全面的理解”。

扎克伯格明確表示，他不打算辭去首席執(zhí)行官職務(wù)。到目前為止，他也還沒有開除過任何一個(gè)人，并認(rèn)為最終責(zé)任在他自己?！拔也粫褎e人抓來背黑鍋?！?/p>

“我們是一家理想而樂觀的公司，”扎克伯格說：“我們現(xiàn)在知道，我們沒有做足夠的工作來專注于防止數(shù)據(jù)濫用，也沒有充分思考人們?nèi)绾问褂眠@些工具來造成傷害?！?/p>

他說，F(xiàn)acebook現(xiàn)在面臨兩大問題：“首先，我們能否控制我們的系統(tǒng)，其次，我們能否確保我們的系統(tǒng)不會被用來破壞民主?！?/p>

“只讓人們有地方發(fā)聲是不夠的，我們還必須確保人們不會借此傳播假消息?！彼a(bǔ)充說。

具體來說，扎克伯格承認(rèn)，F(xiàn)acebook必須“確保我們生態(tài)系統(tǒng)中的每個(gè)人都能保護(hù)人們的信息?！?/p>

這與扎克伯格在3月21日首次對Facebook數(shù)據(jù)門事件做出的回應(yīng)遙相呼應(yīng)：當(dāng)時(shí)，扎克伯格承認(rèn)，F(xiàn)acebook在用戶信息方面犯了錯(cuò)誤。他說： “我們有責(zé)任保護(hù)你的數(shù)據(jù)，如果我們不能，那么我們不配為你服務(wù)?！?/p>

扎克伯格承諾會調(diào)查那些可以訪問“大量信息”的應(yīng)用程序，公司接下來將對2018年第三方應(yīng)用程序可以訪問的信息進(jìn)行更改。Facebook還計(jì)劃限制開發(fā)者對用戶信息的訪問量，限制其為應(yīng)用提供用戶的姓名、照片和電子郵件地址的信息。如果用戶連續(xù)三個(gè)月都沒有使用服務(wù)，F(xiàn)acebook會撤銷這款應(yīng)用程序?qū)δ銛?shù)據(jù)的訪問權(quán)限。

CNET報(bào)道指出，F(xiàn)acebook數(shù)據(jù)門的核心，不僅僅是Facebook對用戶信息的處理不當(dāng)，或是揪出責(zé)任在誰，而是這家每個(gè)月有20億人在使用的公司是否值得信賴。我們是否能夠安心地把地球上三分之一的人的信息交給這個(gè)平臺去處理，并讓這個(gè)信息交換平臺繼續(xù)成為我們生活的核心組成部分。