新浪科技讯 北京时间4月19日早间消息,一家鲜为人知的美国数据公司在用户毫不知情的情况下,通过Facebook、LinkedIn、Twitter和Zillow等社交网络收集和合并大量用户数据,构建4800万人的个人资料,并且一度将其公开泄露出来。
这家总部位于美国华盛顿州贝尔维尤的公司名叫Localblox,他们表示可以“从网络和交换网络中,以多种形式自动爬取、发现、提取、索引、映射和增强数据”。自从2010年创办以来,该公司一直在通过Facebook、Twitter、LinkedIn等公开数据来源收集信息,制作用户资料。
但在今年早些时候,该公司将大量资料数据放在亚马逊S3上却没有添加密码,导致任何人都可以下载这些信息。
这部分资料标签为lbdumps,其中包含了一个超过1.2TB的文件,上面列出了4800万个人用户的信息,全部都是通过公开资料收集后合并起来的。
这份数据随后被安全公司UpGuard网络风险研究主管克里斯·维克利(Chris Vickery)发现。维克利在2月末将此事告知Localblox CTO阿什法克·拉赫曼(Ashfaq Rahman),而这些资料也得以在几小时后重新加密。
Facebook上月刚刚因为伦敦数据公司剑桥分析(Cambridge Analytica)获取其8700万用户数据,而被卷入舆论漩涡。这些数据可以用于构建大量美国人的资料库,从而预测他们的投票倾向,包括2016年的美国总统大选。
比Facebook数据泄密丑闻更为严重的是,Localblox收集的数据更具侵略性,其中包括高度敏感的个人信息,甚至可以对应到每个人的个人身份——而这一切都是在没有用户许可的情况下发生的。
这些数据以JSON文件形式存储,可以直接阅读其中的内容。数据中包含姓名、家庭住址、工作信息、职业历史等。
UpGuard周三发布的报告显示,Localblox可以使用通过Facebook搜索引擎获得的邮件地址来检索用户照片、目前的职位头衔和雇主信息,外加一些家庭信息。
Facebook已于本月早些时候关闭了搜索功能,避免垃圾信息传播者借此收集用户数据。
另外,Localblox可能还通过一些非公开来源获得了补充信息,例如购买营销数据。在对这些数据进行汇总和组织之后,将其融入现有的个人资料。
该报告称,这项数据收集工作可以针对每个受影响的人构建3D图像,借此投放广告和促进政治选举。
Localbox之前也经常对外吹嘘他们所能收集的数据。该公司网站上的样本资料声称还包含一个人的位置、邮件地址、IP地址、电话号码、邮政编码、工资、雇主、职位头衔以及其他精确信息。有的数据甚至还包含一个人是否拥有信用卡、他们的“拒接来电”偏好、婚姻状况和净资产。
Localblox声称其设备ID数据库中拥有超过6.5亿条记录,手机数据库中拥有1.8亿条信息,里面包含了手机号码和运营商信息。该公司还表示其美国选民数据库拥有1.8亿公民信息。目前还不清楚这个数据库的信息是在何时更新的,但与2017年年中泄露的1.97亿选民数据很接近。
拉克曼还表示,这4800万用户数据中的“多数”都是用于内部测试,但他并未披露具体比例。在被问及地理位置和IP地址等数据时,他表示这些数据“不会与真正的所有者关联”。
拉赫曼还认为,应该没有其他人接触过这些数据。Facebook、LinkedIn、Twitter等平台均表示禁止类似的数据获取行为。但支持者认为,如果只是获取公开数据,这种行为不应该受到指责。