Facebook 有近 5.33 億用戶數據外洩,Facebook 選擇沉默,但坊間早有不少應對工具,供用戶快速查詢自己的資料有否在外洩名單之上。

這些工具大多應該是安全的,只是防人之心不可無,我絕對不會建議讀者隨便把個人資料胡亂在網上查證,萬一網站有鬼,這可是另一資訊安全隱患。我先說查證方法,稍後再說兩個小故事,分享一下為何我會如此謹慎。

在 2021 年 4 月,Facebook 發生大規模的資安事故,查證自己有否在名單之上,可以到以下網址:

👉 https://haveibeenpwned.com

在 email or phone 一欄,輸入國際格式的電話號碼,香港的 country code 為 852,例如電話是 9394****,輸入 8529394****,不用輸入 00 或 + 號。

如果出現 Oh no — pwned!,就是洩漏了,往畫面下方查看,可以看到洩漏的相關事件。

「Have I been pwned?」查證網站是由 Microsoft 地區總監 Troy Hunt 開發,該站在資安界有聲望,使用之前可以參考 BBC 報道維基條目

如果資料外洩,請參閱另一篇文章的建議:〈自己資料自己救!極嚴重保安漏洞,Facebook 資料外洩事件〉

順便說一下,為何我在網站搜尋資料時顯得格外小心呢?說兩個小故事。

事件一:

十多年前,我打算申請一個域名(domain name),在 Godaddy.com 網站上隨意搜了一下,發覺域名仍然存在,可以隨便申請。但當時事忙,事情擱下來。沒想到過了一個月後扚起心肝去申請,卻發覺該域名已被註冊,而註冊方,居然就是 Godaddy.com 這間網上知名的域名公司!

在我想申請的域名上,顯示一大個廣告,說如果我想購買此一域名,就要請 Godaddy.com 做「域名經紀人」,得先起碼支付數百元港幣經紀服務費,再用上數萬元去買一個域名!

由於該域名頗獨特,其他人巧合申請的可能近乎是零。「域名註冊人」是 Godaddy.com,「域名經紀人」也剛好是 Godaddy.com,而我又只在這家公司的域名搜尋器中透露過自己想申請該域名的意願,所以我只有一個推論,就是 Godaddy.com 明顯是記錄了用戶搜尋域名的紀錄,並把有可能獲利的域名先行據為己有。

這間公司的做法當然極不道德,但也教曉了我一件事,就是網站要記錄搜尋結果是易如反掌的事情。你在該網站上搜尋過任何資料,也可以被記錄下來。

如果你隨便在一個陌生的網站,搜尋驗證自己的電話號碼或其他訊息有否被洩漏,網站管理人員便會知道以下資料:甲,反向查詢到你的 Facebook 個人檔案。乙,可能會知道你的性別、電郵、位置資料。丙,知道你對 Facebook 資安洩漏事件有所警惕,否則也不會去驗證。

掌握了以上三項資料,再加一些社會工程學的技巧,不知會如何發展了。

強調一點,很多查核資料有否外洩的網站管理人員都是有心人,只是希望讓人查證自己資料有否外洩。但,我實在難以得知對方是否好人,始終都是這句,小心駛得萬年船。

事件二:

認識有人在起底網上搜尋自己的資料,首次沒有任何發現,但在多次搜尋後,某天忽然發現自己的資料出現了。

箇中原因不明,但我不排除其中一個可能的原因,是事主經常搜尋該名字,引起了相關管理人員的興趣。嗯,可能吧。

同樣一句,小心駛得萬年船。

如果真的要搜尋,不妨使用 Duckduckgo.com 的高級搜尋功能。例如想知道 https://www.721-831.com 有沒有某個名字的資料,可以在 DDG 搜尋:「site:721-831.com 名字」。若然 DDG 上搜不到結果,才在 Google.com 上搜索。

 

🔑 【資訊保安文章整理,超務實長清單】

作者 Patreon / Facebook / MeWe