在 Facebook 和 Twitter 這些社交平台中,比起使用體驗或介面功能等,個資安全絕對是最重要的一個。畢竟使用體驗再好、介面功能再完善,只要它有個資被盜的風險,基本上是不會有人想使用的。
令人震驚的是,《華爾街日報》近日報導:Meta(Facebook 的母公司)過去一年內解僱了 20 幾名員工和約聘員工,理由是「他們非法存取用戶的帳號後,將用戶的個資轉手賣給駭客」。
▼《華爾街日報》的報導
來源:《華爾街日報》
內部員工盜取個資後轉賣給駭客
當提到「駭客如何竊取個資」時,大多數人想到的可能是網路釣魚、勒索軟體和木馬病毒等等。不過,還有另一個方法:直接賄賂有帳號存取權的員工或約聘員工。
▉ 這些員工如何盜取個資
如果用戶的 Facebook 或 Instagram 帳號出現問題,又無法透過 e-mail 或電話連繫到 Meta 的客服時,Meta 員工就會使用一種叫做「Oops」的工具來幫用戶重新登入或是重置他們的帳號。Oops 通常當作最後手段來使用,並且只應該被用在員工、員工的家人或員工的朋友上。
在提交 Oops 報告時,用戶必須說明他們是否是 Meta 員工、知名人士、Meta 的合作夥伴或 Meta 員工的家庭成員。然後他們的請求將轉發給 Meta 社群支援團隊,這些團隊裡面有不少公司或商業夥伴被證實,對駭客來說盜取這些公司或商業夥伴的資料是非常有利可圖的,甚至已經有黑市圍繞著 Oops 發展起來了。
隨著 Meta 的員工人數增加,Oops 上提出的請求數量也越來越多。據《華爾街日報》的報導,2017 年 Oops 共有 22,000 個任務紀錄,2020 年時就飆升到 50,270 個。
▉ 詐騙案例
一名已經被解雇的員工告訴《華爾街日報》,他被駭客欺騙並代表駭客提交假的 Oops 報告。據傳,另一位員工透過與駭客合作獲得了數千美元的比特幣,但本人否認有不當行為。
與此同時,除了 Meta 員工之外,一些企業也會向創作者提供「帳戶救援」作為付費服務,並承諾這些創作者可以幫他們在 Meta 內部牽線搭橋。正如一位網路業者所說,「你必須在內部有一個真正會做這件事的人。」
總結
不幸中的大幸是,目前不管是美國的 Facebook 或 Instagram 都尚未出現大規模個資外洩的危機,因此在台灣的我們更是相對安全。
提醒大家,建議最好不要在 Facebook 或 Instagram 上儲存電話、身分證字號或任何信用卡資訊,或是將帳號與任何有儲存上述資訊的網站進行綁定。畢竟就連 Meta 公司裡都會出內賊了,還是不要太仰賴官方的個資保護,只要自己的帳號裡本來就沒有任何重要個資,那駭客就算想盜也無從盜起!
首圖來源:TechSpot