来源：新浪美股

文章来自：CNET；Business Insider

编译：新智元

Facebook昨天扔下一颗重磅炸弹：CTO Mike Schroepfer表示，经公司调查，Cambridge Analytica数据滥用影响不是最先估计的5000万人，至少有8700万用户信息被不当收集。此外，Facebook 20亿用户中的大多数，都可能因为其搜索功能的一个默认设置，而被恶意使用者获取了个人数据。

一波未平一波又起：Facebook CTO Mike Schroepfer在4月4日扔下一颗重磅炸弹，揭露的惊人消息，几乎肯定会让已经深陷泥沼的Facebook更加不能自拔，同时，也让信息时代个人隐私危机蒙上更厚重的阴影。

Mike Schroepfer在一篇博客文章中称，Facebook的20亿用户中的大多数，可能都已经被“恶意行为者”（malicious actors）非法获取了个人数据，具体的方法是通过Facebook的一个搜索功能。

这个功能允许任何人通过仅搜索某个用户的电话号码或电子邮件地址，查找用户的公开Facebook个人资料信息，包括性别和出生日期等信息。恶意行为者通过这种反向搜索，找到用户的个人资料页面，从而非法获取数据。

Facebook表示，公司已经在其网站的搜索功能中禁用了这项子功能，但已经有如此多的用户数据可能遭到侵害，无疑让这一全球最大社交网络努力恢复用户信心再次遭遇挫折。

“在过去的几年中，如果你有这样的设置，那么很可能有人访问了你的信息，”Facebook首席执行官马克扎克伯格在周三与记者的电话会议上说。

不仅如此，在Cambridge Analytica事件中，最初估计有5000万用户受影响，但经Facebook调查，这个数字比以前的估计值要大得多——高达8，700万用户。

Cambridge Analytica事件在这里就不多赘述了。数据分析公司Cambridge Analytica通过一位大学研究人员编写的应用程序，收集大量Facebook用户的数据。虽然实际上只有27万用户安装了这款应用程序，但由于当时Facebook的数据共享政策，这款应用程序收集到了更多的用户数据。

最初的估计是，该应用程序收集了大约5000万Facebook用户的数据。但Schroepfer将这一数字上调了74%，达到8700万人。

通过Facebook拿到你的私人手机号？其实真的很容易

上个月，Medium用户Inti De Ceukelaire发表了一篇文章，“介绍”如何针对Facebook的搜索功能设置，获取他人的私人电话号码。

关键是，Facebook的这些设置，不禁让我们想起了很多身边熟悉的应用，也有几乎相同的设置。

Inti De Ceukelaire在研究的过程中，发现了一些比利时明星和政治家的电话号码，虽然他使用的这种方法似乎只能在类似比利时这样的小型国家（1120万人左右）奏效，但这也表明，这种简单且高效的攻击，仍然会让大量用户的隐私信息发生泄漏。

各种被发现的电话号码

当“who can look me up by phone（通过手机号码查找到我）”这个选项被设置为“公开”时，你的电话号码就会被Facebook公开。

值得一提的是，这个选项是默认“public（公开）”；其次，虽然用户可以将个人资料中的电话号码设置为“only me（仅对自己看见），但如果用户设置能够“通过手机号码查找到我”，那么这个“only me”设置便会失效。

Who can look me up by phone（通过手机号码查找到我）选项

这个设置只能决定你的电话号码是否会出现在个人资料中，而你的电话号码是否会被公开其实跟这个设置没多大关系。

很多用户可能会认为自己的电话号码他人是看不见的，而事实并非如此。

很多用户根本不知道Facebook有他们的电话号码，虽然Facebook不能直接从用户的手机中提取出电话号码，但Facebook会不断提醒用户绑定手机号，为了方便登录和密码找回。

颇为讽刺：虽然Facebook不能直接从你的手机中提取出电话号码，但是Facebook会不断地提醒用户绑定手机号

De Ceukelaire进行了一系列实验，最终得出结论是，如果你的Facebook绑定了手机号，那么你就没有任何办法隐藏自己的手机号码，无论你怎样做，你的“朋友”都能够看到你的号码。

但是，当他把这一发现告知Facebook安全团队后，得到的答复不免让人有些吃惊，简单说，Facebook（至少在当时）不认为这是一个安全问题。

接着，Inti De Ceukelaire描述了他如何使用Facebook在2013年初推出的一款社交搜索工具Graph Search，结合其他一些并不复杂的手段，通过反向搜索，最终得到Facebook用户私人电话号码的方法。

Facebook将在全球范围执行史上最严隐私保护条例

扎克伯格昨天在电话会议上承诺，Facebook将在全球范围使用欧盟“通用数据保护条例”（GDPR）。扎克伯格说：“总的来说我认为这样的规定是非常积极的。我们将在所有地区遵守这一条例，不仅是在欧洲。”

GDPR被认为是史上最严的用户数据和隐私保护条例，该条例经欧盟投票和商讨四年之久，于2016年4月14日出台，包括 91 个条文，共计 204 页。GDPR 将于 5 月 25 日生效，并将要求数据管理者（data controller）向用户解释他们打算收集的个人数据以及原因。

根据TechCrunch的报道，Facebook计划实施自定义受众认证工具（Custom Audiences Certification Tool），该工具将要求企业保证他们为广告定向上传到Facebook用户电子邮件地址和电话号码已经获得用户准许。

扎克伯格：不打算辞职，我开创了Facebook，我运营它，我负责

Facebook CTO Mike Schroepfe的宣布，发生在扎克伯格预计召开记者电话会议前的一小时。

时机选得有些巧妙。

但一小时的时间已经足以让人充分体会事情已经变得有多糟糕。用户、业界和监管者的口诛笔伐不断升级。之前有科技投资者公开指出，扎克伯格应该辞职，让COO桑德伯格上位。尽管如此，扎克伯格仍然表示，他认为自己是掌管Facebook的最佳人选。

“生活就是从错误中吸取教训，”扎克伯格周三在与记者的电话会议中说： “不论如何，这是我的责任，我开创了Facebook，我运营它，我负责。”

扎克伯格表示，Facebook等到周三才公布8700万这一数据，是因为希望“彻底弄清情况”，“让你们有一个全面的理解”。

扎克伯格明确表示，他不打算辞去首席执行官职务。到目前为止，他也还没有开除过任何一个人，并认为最终责任在他自己。“我不会把别人抓来背黑锅。”

“我们是一家理想而乐观的公司，”扎克伯格说：“我们现在知道，我们没有做足够的工作来专注于防止数据滥用，也没有充分思考人们如何使用这些工具来造成伤害。”

他说，Facebook现在面临两大问题：“首先，我们能否控制我们的系统，其次，我们能否确保我们的系统不会被用来破坏民主。”

“只让人们有地方发声是不够的，我们还必须确保人们不会借此传播假消息。”他补充说。

具体来说，扎克伯格承认，Facebook必须“确保我们生态系统中的每个人都能保护人们的信息。”

这与扎克伯格在3月21日首次对Facebook数据门事件做出的回应遥相呼应：当时，扎克伯格承认，Facebook在用户信息方面犯了错误。他说： “我们有责任保护你的数据，如果我们不能，那么我们不配为你服务。”

扎克伯格承诺会调查那些可以访问“大量信息”的应用程序，公司接下来将对2018年第三方应用程序可以访问的信息进行更改。Facebook还计划限制开发者对用户信息的访问量，限制其为应用提供用户的姓名、照片和电子邮件地址的信息。如果用户连续三个月都没有使用服务，Facebook会撤销这款应用程序对你数据的访问权限。

CNET报道指出，Facebook数据门的核心，不仅仅是Facebook对用户信息的处理不当，或是揪出责任在谁，而是这家每个月有20亿人在使用的公司是否值得信赖。我们是否能够安心地把地球上三分之一的人的信息交给这个平台去处理，并让这个信息交换平台继续成为我们生活的核心组成部分。