Facebook共享數據的52家公司網路威脅狀況分析

Facebook用戶數據泄露相關事件

52家科技公司擁有對Facebook用戶數據的特殊訪問權

美國國會能源與商務委員會披露，Facebook一直都在為一些公司提供數據，這些公司的具體數量比Facebook之前聲明的要多出很多。Facebook表示，已於2015年停止與開發者共享用戶的好友數據，但與商業合作夥伴的數據共享還在繼續。

披露文件顯示，有52家科技公司擁有對用戶數據的特殊訪問權，由於這些公司「被授權開發Facebook的功能，或更新設備與產品上的Facebook版本。」

52家科技公司網路威脅狀況分析

企業在保護敏感信息及用戶數據時，往往將目光聚焦在企業內部，而忽略了由合作夥伴帶來的風險。Facebook事件非常的典型，這一次，堡壘並非從內部被攻破。我們對FaceBook這52家合作夥伴進行了數據採集及分析（數據採集時間：2018年4-6月），以了解這些企業面臨的網路威脅情況。

數據顯示，這52家合作夥伴平均風險指數為486，與平均值相比，有較大的差距（均值約800，風險值越低則風險越高）。在出現風險企業佔比的統計中，發現存在安全漏洞的企業佔比達到65%，安全漏洞可讓攻擊者能夠在未授權的情況下訪問或破壞系統，將企業的信息資產置於危險的境地；遭受DDOS攻擊的合作夥伴佔比達62%，意味這52家合作夥伴的線上業務或有較大的用戶量，或價值較高，是攻擊者較為關注的群體。惡意代碼的存在同樣也給企業的網路安全帶來了巨大的隱患，採樣企業中有38%存在惡意代碼。可見，這52家合作夥伴仍存在較大的網路安全隱患。Facebook或許該對合作夥伴帶來的網路風險管理有更多的投入。

Facebook事件與GDPR

目前，美國聯邦調查局（FBI）、美國證券交易委員會（SEC）和美國聯邦貿易委員會（Federal Trade Commission）已加入美國司法部的行列，就英國劍橋分析公司數據泄露一事對Facebook展開調查。據《華盛頓郵報》報道，此次調查的重點是Facebook是否準確、及時地披露了數據泄露。

在2018年5月25生效的GDPR中，明確了數據外泄通告機制：「組織在發生數據外泄時必須在72小時內，即刻通報給監管機構。並且，若外泄會給個人帶來風險，也應該及時通知當事人。」本次調查的結果或將成為監管機構對Facebook制裁的依據之一。

Facebook事件為我們敲響了警鐘，面對這一史上最嚴的法案，企業和組織也應該重新去審視目前對用戶數據的保護策略，關注到每一個風險環節。

附：採樣企業的RSTP分析

可見，風險較高企業的資產規模均較大，尤其是華為、微軟、聯想、蘋果。大量的互聯網資產一定程度上增加了互聯網暴露面，為企業帶來更多的風險。

訪問流行度高，意味著企業與個人用戶的交互更多，也更可能採集大量的用戶數據，這十家企業的風險均值為300，不容樂觀。無論是作為數據的「控制者」還是「數據處理者」都應提高自身抵禦網路風險的能力。

採集企業名單

Accedo、宏基、Airtel、阿爾卡特/TCL、阿里巴巴、亞馬遜、蘋果、AT&T、黑莓、戴爾、DNP、Docomo、Garmin、金雅拓、HP/Palm、HTC、華為、INQ、科達、LG、MediaTek/ Mstar、微軟、Miyowa /Hape Esia、摩托羅拉/聯想、Mozilla、Myriad、Nexian、諾基亞、Nuance、O2、Opentech ENG、Opera Software、OPPO、Orange、Pantech、PocketNet、高通、三星、索尼、Sprint、T-Mobile、TIM、Tobii、U2topia、Verisign、威瑞信、Virgin Mobile、沃達豐、華納兄弟、西部數據、雅虎、Zing Mobile。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！