最近網路行銷公司 Salt Agency 的總監 Reza Moaiandin 無意間發現了臉書 API 的一個設定,可以讓駭客藉由隨機的電話號碼搜尋到臉書的帳號,而這可以讓駭客借此販賣你的資料大賺一筆。
Moaiandin 發現 Facebook 的 GraphQL 連結,包括美國、英國、加拿大等號碼,只要你有將號碼註冊在 Facebook 上,就有可能遭到駭客的入侵。他也借此成功取得了數千名 Facebook 用戶的個人資訊。
Moaiandin 於今年四月就跟臉書表示此問題,而臉書則表示此項設計是「故意的」,同時這個功能也有數量查詢功能的上線,但Moaiandin 並未達到查詢上限所以沒有被封鎖。
而根據 3C 新報直接測試發現,雖然用 API 就可以讓駭客大量取得資料是種危險,但事實上臉書上方的搜尋框,輸入電話號碼就可以成功找到臉書帳號,即使你只有電話號碼而沒有對方的臉書帳號,對方仍然可以在搜尋框輸入你的電話號碼找到你的臉書。
依照目前(20150812)的測試結果來看,如果你將電話的觀看權限設定為「自己」,你的好友仍然可以透過電話號碼搜尋到你的帳號,不過這對一般人來說影響並不大,畢竟你應該不會介意你的臉書好友用電話號碼來搜尋你。
但根據測試,很多人其實並沒有將電話號碼設定為公開,卻還是可以利用電話號碼搜尋到你,在互相不是好友的狀況下,有些人即使將綁定的電話號碼設定為「自己觀看」也仍然可以搜尋到,但有些人設定為「自己觀看」就搜尋不到。
目前尚未清楚這是 bug、還是後面有些我們不了解的演算法機制,但如果你有將電話號碼綁在臉書上的話,可以好好考慮一下要不要刪掉或是修改權限了。
(首圖來源:Flickr/Spencer E Holtaway CC BY ND 2.0)
延伸閱讀
你可能有興趣的文章:
更多關於 Dindo Lin 的文章 (所有文章)
- Sony 將推出 PlayStation 重要更新,在 PC/MAC 上玩 PS4 遊戲不再是夢想 - 2016-03-03
- (更新勘誤)規格比 MBP 強,微軟第一款筆電 Surface Book 讓人驚艷 - 2015-10-07
- 吉田修平暗示,Sony 將不再開發 PSV 後繼機種? - 2015-10-01