四月初網路再傳 Facebook 爆發用戶個資外洩事件,這次一共被竊取超過 5.3 億筆資料,其中受影響的美國帳戶超過 3000 萬,台灣則有 73 萬人左右,堪稱 Facebook 近期規模最大的資安事件。在媒體揭露後 Facebook 隨即澄清是 2019 年的漏洞,後來也已經修復,但對於當下沒有主動通知使用者進行更多安全補救措施飽受各界批評,Facebook 創辦人 Mark Zuckerberg 和另外兩位共同創辦人的電話號碼也在外洩資料中被發現。
這次 Facebook 個資外洩事件被竊取的資料包括:電話號碼、Facebook ID、姓名、性別、居住地、感情狀態、職業、生日和 Email 地址,不過資料並不是很完整,從國外報導可以看到大部分資料都有電話號碼、Facebook ID、姓名和性別。
值得注意的是這些資料可能被用於駭客攻擊,例如針對特定的 Email、手機號碼進行網路釣魚攻擊,甚至是透過已知的用戶資料進行詐騙等等,接下來我會介紹兩個工具,可以查詢使用者 Facebook 帳號是否在此次外洩事件名單中,一個是知名的「Have I been pwned?」,另一個是台灣的「Leaked.Website」。
Have I been pwned?
https://haveibeenpwned.com/
Leaked.Website
https://leaked.website/
使用教學
STEP 1
首先,開啟 Have I been pwned? 網站後輸入你的電話號碼,如果是台灣手機號碼記得把最前面的 0 去掉改為國碼 886
,舉例來說,0912345678
就改為 886912345678
。
對於這個網站我有寫過幾篇介紹,有興趣也可參考:
- Have I been pwned?:檢查你的 E-mail 個資是否已被駭客竊取
- Pwned Passwords 超過三億筆外洩密碼檢測,看看你的密碼是否被竊取過
- Dropbox 遭駭 6800 萬組帳號密碼外流!你應該立即做的三件事
STEP 2
點選 pwned? 會出現搜尋結果,如果顯示為 Good news – no pwnage found! 代表你的電話號碼沒有在資安事件外洩的資料中被找到。
若是顯示為紅色的 Oh no – pwned! 代表電話號碼或其他個資已經外流。
STEP 3
另一個台灣開發者提供的「Leaked.Website」網站也可查詢台灣或香港用戶個資是否有在此次 Facebook 外洩名單,開啟網站後選擇要查找的資料類型。
輸入要檢查的手機號碼,和 Have I been pwned? 不同的是 Leaked.Website 可以直接輸入台灣十碼手機號碼(前面不需要輸入 886
),在輸入時網站會將資料去識別化,也就是轉為另一組可供系統比對的資料形式後才傳送到系統,在比對過程中使用者的手機號碼不會被傳輸、讀取或是儲存。
STEP 4
點選「送出比對」後會立即顯示比對結果。
如果使用者手機號碼被比對出和資料庫相同,就代表相關個資在這次事件中外洩了,最好的解決方法是將你的電話號碼從 Facebook 帳號移除、變更 Email 地址(盡量不使用主要郵件信箱),當然更重要的是開啟兩步驟驗證防護。
此外,也建議使用密碼管理工具在不同服務使用不同的密碼組合。
值得一試的三個理由:
- Facebook 爆發嚴重的個資外洩事件,有超過 5.3 億筆用戶資料流出
- 以 Have I been pwned? 或 Leaked.Website 檢查自己是否有在受害清單
- 將電話號碼從 Facebook 移除,變更 Email 並開啟兩步驟驗證防護功能