Facebook20亿用户数据可能泄露 扎克伯格如何应对

扎克伯格明确表示，他不打算辞去首席执行官职务。到目前为止，他也还没有开除过任何一个人，并认为最终责任在他自己。“不论如何，这是我的责任，我开创了Facebook，我运营它，我负责。”“我不会把别人抓来背黑锅。”

Facebook昨天扔下一颗重磅炸弹：CTO Mike Schroepfer表示，经公司调查，Cambridge Analytica数据滥用影响不是最先估计的5000万人，至少有8700万用户信息被不当收集。此外，Facebook 20亿用户中的大多数，都可能因为其搜索功能的一个默认设置，而被恶意使用者获取了个人数据。

一波未平一波又起：Facebook CTO Mike Schroepfer在4月4日扔下一颗重磅炸弹，揭露的惊人消息，几乎肯定会让已经深陷泥沼的Facebook更加不能自拔，同时，也让信息时代个人隐私危机蒙上更厚重的阴影。

Mike Schroepfer在一篇博客文章中称，Facebook的20亿用户中的大多数，可能都已经被“恶意行为者”（malicious actors）非法获取了个人数据，具体的方法是通过Facebook的一个搜索功能。

这个功能允许任何人通过仅搜索某个用户的电话号码或电子邮件地址，查找用户的公开Facebook个人资料信息，包括性别和出生日期等信息。恶意行为者通过这种反向搜索，找到用户的个人资料页面，从而非法获取数据。

Facebook表示，公司已经在其网站的搜索功能中禁用了这项子功能，但已经有如此多的用户数据可能遭到侵害，无疑让这一全球最大社交网络努力恢复用户信心再次遭遇挫折。

“在过去的几年中，如果你有这样的设置，那么很可能有人访问了你的信息，”Facebook首席执行官马克扎克伯格在周三与记者的电话会议上说。

不仅如此，在Cambridge Analytica事件中，最初估计有5000万用户受影响，但经Facebook调查，这个数字比以前的估计值要大得多——高达8,700万用户。

Cambridge Analytica事件在这里就不多赘述了。数据分析公司Cambridge Analytica通过一位大学研究人员编写的应用程序，收集大量Facebook用户的数据。虽然实际上只有27万用户安装了这款应用程序，但由于当时Facebook的数据共享政策，这款应用程序收集到了更多的用户数据。

最初的估计是，该应用程序收集了大约5000万Facebook用户的数据。但Schroepfer将这一数字上调了74％，达到8700万人。

通过Facebook拿到你的私人手机号？其实真的很容易

上个月，Medium用户Inti De Ceukelaire发表了一篇文章，“介绍”如何针对Facebook的搜索功能设置，获取他人的私人电话号码。

关键是，Facebook的这些设置，不禁让我们想起了很多身边熟悉的应用，也有几乎相同的设置。

Inti De Ceukelaire在研究的过程中，发现了一些比利时明星和政治家的电话号码，虽然他使用的这种方法似乎只能在类似比利时这样的小型国家（1120万人左右）奏效，但这也表明，这种简单且高效的攻击，仍然会让大量用户的隐私信息发生泄漏。

各种被发现的电话号码

当“who can look me up by phone（通过手机号码查找到我）”这个选项被设置为“公开”时，你的电话号码就会被Facebook公开。

值得一提的是，这个选项是默认“public（公开）”；其次，虽然用户可以将个人资料中的电话号码设置为“only me（仅对自己看见），但如果用户设置能够“通过手机号码查找到我”，那么这个“only me”设置便会失效。

Who can look me up by phone（通过手机号码查找到我）选项

这个设置只能决定你的电话号码是否会出现在个人资料中，而你的电话号码是否会被公开其实跟这个设置没多大关系。

很多用户可能会认为自己的电话号码他人是看不见的，而事实并非如此。

很多用户根本不知道Facebook有他们的电话号码，虽然Facebook不能直接从用户的手机中提取出电话号码，但Facebook会不断提醒用户绑定手机号，为了方便登录和密码找回。

颇为讽刺：虽然Facebook不能直接从你的手机中提取出电话号码，但是Facebook会不断地提醒用户绑定手机号

De Ceukelaire进行了一系列实验，最终得出结论是，如果你的Facebook绑定了手机号，那么你就没有任何办法隐藏自己的手机号码，无论你怎样做，你的“朋友”都能够看到你的号码。

但是，当他把这一发现告知Facebook安全团队后，得到的答复不免让人有些吃惊，简单说，Facebook（至少在当时）不认为这是一个安全问题。

接着，Inti De Ceukelaire描述了他如何使用Facebook在2013年初推出的一款社交搜索工具Graph Search，结合其他一些并不复杂的手段，通过反向搜索，最终得到Facebook用户私人电话号码的方法。

Facebook将在全球范围执行史上最严隐私保护条例

扎克伯格昨天在电话会议上承诺，Facebook将在全球范围使用欧盟“通用数据保护条例”（GDPR）。扎克伯格说：“总的来说我认为这样的规定是非常积极的。我们将在所有地区遵守这一条例，不仅是在欧洲。”

GDPR被认为是史上最严的用户数据和隐私保护条例，该条例经欧盟投票和商讨四年之久，于2016年4月14日出台，包括 91 个条文，共计 204 页。GDPR 将于 5 月 25 日生效，并将要求数据管理者（data controller）向用户解释他们打算收集的个人数据以及原因。

根据TechCrunch的报道，Facebook计划实施自定义受众认证工具（Custom Audiences Certification Tool），该工具将要求企业保证他们为广告定向上传到Facebook用户电子邮件地址和电话号码已经获得用户准许。

Facebook CTO Mike Schroepfer在博客中详细介绍了新的第三方用户信息权限，包括9大变化：

EventsAPI：此前，人们可以授予应用获取关于他们主持或参加的活动信息的权限，包括私人活动。这样就能很容易地将Facebook活动添加到日历、票务或其他应用程序。但是，Facebook活动包含有关其他人的出席信息以及留言板上的帖子，所以确保应用程序正确使用其访问权非常重要。从今天开始，使用该API的app将不再能够访问其他人的出席信息或发布在留言板上的活动信息。而且未来将只有Facebook批准的、同意严格要求的app才可以使用Events API。

Groups API：目前，应用程序需要 Groups 的管理员或成员的权限才能访问封闭组的内容，以及需要管理员的同意才能访问对私密组。 这些应用程序可帮助管理员轻松发布和回复组内的帖子。 但是，我们希望确保更好地保护群组中的成员和对话信息。未来，使用Groups API的所有第三方应用程序都需要Facebook和管理员的批准，以确保他们不损害群组。应用程序将不再能够访问组内成员列表。此外，我们还删除了应用程序可以访问的帖子或评论的个人信息，例如姓名和个人资料照片。

Pages API：此前，任何应用程序都可以使用Pages API从任何页面读取帖子或评论。这允许开发人员为页面所有者创建工具，帮助他们完成日程安排、发帖和回复评论等。但这也让应用程序得以访问更多的数据。我们希望确保网页信息仅适用于向社区提供有用服务的应用程序。 因此，从今天开始，所有对Pages API的访问都需要得到Facebook的批准。

Facebook登录：两周前我们宣布了对Facebook登录进行重大更改。从今天开始，Facebook将需要批准所有需要访问信息的应用，例如登入，喜欢，照片，帖子，视频，活动和群组。我们在2014年开始批准这些权限，但现在我们正在收紧审查流程，要求这些应用程序在访问此数据之前同意严格的要求。我们也将不再允许应用程序访问个人信息，如宗教或政治观点，关系状态，自定义朋友列表，教育和工作历史，健身活动，阅读活动，音乐聆听活动，新闻阅读，视频等的观看活动和游戏活动。在接下来的一周中，如果过去3个月内用户没有使用该应用，我们将会取消开发人员请求获取这些数据的能力。

Instagram Platform API：我们宣布今天起弃用Instagram Platform API。

搜索和帐户恢复：此前，用户可以将其他人的电话号码或电子邮件地址输入到Facebook搜索中以帮助找到他们。这对于在不知道全名或相同名字的人太多时，找到你的朋友特别有用。例如，在孟加拉国，这一功能占所有搜索的7％。但是，恶意行为者会滥用这一功能，通过输入他们已经通过搜索和帐户恢复获得的电话号码或电子邮件地址来获取公开的个人资料信息。鉴于我们发现这种滥用的规模之大和复杂性，我们认为Facebook上的大多数人可能已经以这种方式泄露了他们的公开个人信息。所以，我们现在禁用了这个功能。我们还对帐户恢复进行了更改，以降低泄露信息的风险。

呼叫和文本历史记录：呼叫和文本历史记录是Android上使用Messenger或Facebook Lite的用户可以选择的功能。这意味着我们可以在联系人列表顶部显示最常联系的人。我们已审核此功能，以确认Facebook不收集邮件内容，并且会删除所有超过一年的日志。将来，客户端只会向我们的服务器上传提供此功能所需的信息，而不提供更广泛的数据，例如通话时间。

数据提供商和 Partner Categories：上周我们宣布关闭了 Partner Categories的功能，该功能可让第三方数据提供商直接在Facebook上提供广告定向。

App控制：最后，从4月9日开始，我们会在用户新闻Feed的顶部显示一个链接，以便他们可以查看他们使用的所有App，以及他们与这些App共享的信息。用户也可以删除他们不再需要的App。链接里也会告诉每位用户他们的信息是否可能已经被Cambridge Analytica不正当获取。

用户通知的预览

总的来说，我们认为高达8700万人（主要在美国）的Facebook信息可能已经被Cambridge Analytica公司不正当地共享。

个人数据被Cambridge Analytica公司不正当获取的用户来源

总体而言，我们相信这些变化将更好地保护人们的信息，同时允许开发人员创造有用的体验。我们知道我们需要做更多的工作，并且今后在实行更多更改时，我们会随时通过官方博客更新。

扎克伯格：不打算辞职，我开创了Facebook，我运营它，我负责

Facebook CTO Mike Schroepfe的宣布，发生在扎克伯格预计召开记者电话会议前的一小时。

时机选得有些巧妙。

但一小时的时间已经足以让人充分体会事情已经变得有多糟糕。用户、业界和监管者的口诛笔伐不断升级。之前有科技投资者公开指出，扎克伯格应该辞职，让COO桑德伯格上位。尽管如此，扎克伯格仍然表示，他认为自己是掌管Facebook的最佳人选。

“生活就是从错误中吸取教训，”扎克伯格周三在与记者的电话会议中说： “不论如何，这是我的责任，我开创了Facebook，我运营它，我负责。”

扎克伯格表示，Facebook等到周三才公布8700万这一数据，是因为希望“彻底弄清情况”，“让你们有一个全面的理解”。

扎克伯格明确表示，他不打算辞去首席执行官职务。到目前为止，他也还没有开除过任何一个人，并认为最终责任在他自己。“我不会把别人抓来背黑锅。”

“我们是一家理想而乐观的公司，”扎克伯格说：“我们现在知道，我们没有做足够的工作来专注于防止数据滥用，也没有充分思考人们如何使用这些工具来造成伤害。”

他说，Facebook现在面临两大问题：“首先，我们能否控制我们的系统，其次，我们能否确保我们的系统不会被用来破坏民主。”

“只让人们有地方发声是不够的，我们还必须确保人们不会借此传播假消息。”他补充说。

具体来说，扎克伯格承认，Facebook必须“确保我们生态系统中的每个人都能保护人们的信息。”

这与扎克伯格在3月21日首次对Facebook数据门事件做出的回应遥相呼应：当时，扎克伯格承认，Facebook在用户信息方面犯了错误。他说： “我们有责任保护你的数据，如果我们不能，那么我们不配为你服务。”

扎克伯格承诺会调查那些可以访问“大量信息”的应用程序，公司接下来将对2018年第三方应用程序可以访问的信息进行更改。Facebook还计划限制开发者对用户信息的访问量，限制其为应用提供用户的姓名、照片和电子邮件地址的信息。如果用户连续三个月都没有使用服务，Facebook会撤销这款应用程序对你数据的访问权限。

CNET报道指出，Facebook数据门的核心，不仅仅是Facebook对用户信息的处理不当，或是揪出责任在谁，而是这家每个月有20亿人在使用的公司是否值得信赖。我们是否能够安心地把地球上三分之一的人的信息交给这个平台去处理，并让这个信息交换平台继续成为我们生活的核心组成部分。