Facebook共享数据的52家公司网络威胁状况分析
作者: 日期:2018年07月24日 阅:4,338

Facebook用户数据泄露相关事件

52家科技公司拥有对Facebook用户数据的特殊访问权

美国国会能源与商务委员会披露,Facebook一直都在为一些公司提供数据,这些公司的具体数量比Facebook之前声明的要多出很多。Facebook表示,已于2015年停止与开发者共享用户的好友数据,但与商业合作伙伴的数据共享还在继续。

披露文件显示,有52家科技公司拥有对用户数据的特殊访问权,由于这些公司“被授权开发Facebook的功能,或更新设备与产品上的Facebook版本。”

52家科技公司网络威胁状况分析

企业在保护敏感信息及用户数据时,往往将目光聚焦在企业内部,而忽略了由合作伙伴带来的风险。Facebook事件非常的典型,这一次,堡垒并非从内部被攻破。我们对FaceBook这52家合作伙伴进行了数据采集及分析(数据采集时间:2018年4-6月),以了解这些企业面临的网络威胁情况。

数据显示,这52家合作伙伴平均风险指数为486,与平均值相比,有较大的差距(均值约800,风险值越低则风险越高)。在出现风险企业占比的统计中,发现存在安全漏洞的企业占比达到65%,安全漏洞可让攻击者能够在未授权的情况下访问或破坏系统,将企业的信息资产置于危险的境地;遭受DDOS攻击的合作伙伴占比达62%,意味这52家合作伙伴的线上业务或有较大的用户量,或价值较高,是攻击者较为关注的群体。恶意代码的存在同样也给企业的网络安全带来了巨大的隐患,采样企业中有38%存在恶意代码。可见,这52家合作伙伴仍存在较大的网络安全隐患。Facebook或许该对合作伙伴带来的网络风险管理有更多的投入。

Facebook事件与GDPR

目前,美国联邦调查局(FBI)、美国证券交易委员会(SEC)和美国联邦贸易委员会(Federal Trade Commission)已加入美国司法部的行列,就英国剑桥分析公司数据泄露一事对Facebook展开调查。据《华盛顿邮报》报道,此次调查的重点是Facebook是否准确、及时地披露了数据泄露。

在2018年5月25生效的GDPR中,明确了数据外泄通告机制:“组织在发生数据外泄时必须在72小时内,即刻通报给监管机构。并且,若外泄会给个人带来风险,也应该及时通知当事人。”本次调查的结果或将成为监管机构对Facebook制裁的依据之一。

Facebook事件为我们敲响了警钟,面对这一史上最严的法案,企业和组织也应该重新去审视目前对用户数据的保护策略,关注到每一个风险环节。

附:采样企业的RSTP分析

可见,风险较高企业的资产规模均较大,尤其是华为、微软、联想、苹果。大量的互联网资产一定程度上增加了互联网暴露面,为企业带来更多的风险。

访问流行度高,意味着企业与个人用户的交互更多,也更可能采集大量的用户数据,这十家企业的风险均值为300,不容乐观。无论是作为数据的“控制者”还是“数据处理者”都应提高自身抵御网络风险的能力。

采集企业名单

Accedo、宏基、Airtel、阿尔卡特/TCL、阿里巴巴、亚马逊、苹果、AT&T、黑莓、戴尔、DNP、Docomo、Garmin、金雅拓、HP/Palm、HTC、华为、INQ、科达、LG、MediaTek/ Mstar、微软、Miyowa /Hape Esia、摩托罗拉/联想、Mozilla、Myriad、Nexian、诺基亚、Nuance、O2、Opentech ENG、Opera Software、OPPO、Orange、Pantech、PocketNet、高通、三星、索尼、Sprint、T-Mobile、TIM、Tobii、U2topia、Verisign、威瑞信、Virgin Mobile、沃达丰、华纳兄弟、西部数据、雅虎、Zing Mobile。

相关阅读

从Facebook隐私泄露事件看IAM走向容器

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章