7 月 13 日消息,据外媒报道,社交媒体网络 Facebook 最近关闭了一个隐私漏洞,它允许第三方在私密的 封闭 群组中获取成员姓名和其他信息。Facebook 发言人证实,今年早些时候,Facebook 已经向应用程序开发商发出了禁止通知函。而在 Facebook 采取行动之前,Chrome 的一个扩展版本也被关闭。
在 Facebook 做出这一决定之前,一个携带患乳腺癌风险较高突变基因的女性私人团体成员抱怨说,她们担心自己的名字可能会被曝光,并可能受到保险公司的歧视或其他侵犯隐私行为的伤害。Facebook 发言人表示,关闭查看封闭群组成员的功能是最近基于 几个因素 做出的决定,但与该群组的拓展无关。
在新的隐私问题出现之际,Facebook 正试图重新定位自己,把自己定位为朋友、家人以及有共同问题和兴趣的人的聚集地,努力摆脱与网络巨魔、政治仇恨和所谓广泛侵犯隐私行为的负面联系。
Facebook 将 群组 功能作为一种商业策略,就像马克 扎克伯格(Mark Zuckerberg)去年所说: 如果你想要管理拥有数千人的群组,你需要管理工具的帮助。
Facebook 还在应对激烈的监管审查,尤其是在欧盟,那里最近生效的《通用数据保护条例》(GDPR)扩大了 个人数据 的定义,除了社会保险号码,还包括已公开 Facebook 封闭群组成员的数据类型,如位置、姓名和遗传标记等。
一个需要隐私的女性健康团体
安德里亚 唐宁(Andrea Downing)致力于帮助携带有 BRCA (BRCA)高风险乳腺癌基因的女性,并组建了私密的 封闭 群组,因为里面的女性成员往往不希望自己的身份为人所知。该组织没有使用 Facebook 最严格的隐私设置,因为这将使搜索其网站的人看不到它。
唐宁说,加入 BRCA Sisterhood Facebook 群组的女性通常都需要应对让她们感到脆弱的私人问题,社交媒体也提供了一种诱人的方式,让她们可以与其他有同样担忧的女性亲密地分享她们的故事。
唐宁表示,保护隐私始终是该群组和其他 BRCA 呈阳性女性团体需要考虑的优先问题,因为他们的成员会上传外科手术照片,并分享她们处理健康问题的私人经历。
当唐宁发现 Chrome 浏览器的扩展版本 Grouply.io 时,她开始担心群组成员的隐私问题。Grouply.io 可以让她轻松地下载群组中所有 9000 名成员的姓名、雇主、位置、电子邮件地址和其他个人信息。
唐宁联系了专门研究医疗数据的安全研究员弗雷德 特罗特(Fred Trotter),看看她的担忧是否合理。特罗特发现, 封闭 的 Facebook 群组的确存在隐私漏洞,可以让第三方发现群组成员的名字。
Grouply.io 应用是专门为市场营销人员收集这些信息而设计的。对提交到转发邮件的置评请求,现在已经不再可用的 Grouply.io 应用程序没有给出回应。特罗特进一步发现,他可以不使用浏览器扩展来手动收集这些细节。
5 月 29 日,特罗特向 Facebook 提交了一份关于这个问题的报告。Facebook 发言人表示,该公司此前曾将封闭群组的成员列表设为 可查看 ,但同时下载完整列表的功能并不是该平台的功能。
6 月 20 日,特罗特和 BRCA 成员收到了 Facebook 的回复,其中包括承认这些封闭组的成员列表可以公开。
Facebook 的代表回复道: 我们的 Groups 团队始终在探索与群组成员和隐私控制相关的潜在变化组织,以便理解提供不同的选项是否能更好地调整群组管理员和会员的期望。这项工作正在进行中,可能会导致更多变化,以帮助解决你们今后的担忧。
Facebook 发言人证实了这一互动,并表示该公司将继续强调其对群组概念的承诺,允许个人分享敏感的经历。BRCA 群组成员回复 Facebook,称他们对 6 月 26 日的回应不满意。
特罗特和唐宁都证实,到 6 月 29 日,Facebook 上以这种方式获取信息细节的功能已经被关闭了。
HIPAA 未覆盖的社交网站
在研究中,特罗特发现他可以使用 Grouply.io 或手动方式下载其他封闭的 Facebook 群组成员个人信息,包括其他敏感的圈子,比如针对戒毒康复的人群、携带艾滋病毒的男性或在同性伴侣被定罪的国家被认定为同性恋的个人。该功能如今已被禁用。
另外三名安全专业人士证实,从 封闭 群组下载成员信息的功能曾被启用,但现在似乎无法使用。
诸如此类的数据经常被用于各种营销产品和服务中,尤其是针对那些可能需要特定健康治疗的人群。一位专家说,消费者可能没有意识到,在社交网络的 机密 环境中共享信息与在医疗环境中共享信息是不一样的。
健康信息共享应用 Ciitizen 首席监管官德文 麦克格劳(Deven McGraw)说: 像 BRCA 这样的基因检测结果受到 HIPAA (《健康保险可携性与责任法案》)的保护,如果是在医疗记录中,就不能与营销人员分享。但 HIPAA 并未覆盖社交网站。许多人错误地认为他们的健康信息在美国受到监管,不管这些信息在哪里。
麦克格劳还说,Facebook 可能面临的挑战超出了对医疗数据的监管。 封闭 群组的用户是否对隐私有合理的预期,这一问题可能会引起 GDPR 下欧盟监管机构的关注,甚至可能引起美国联邦贸易委员会(FTC)的注意,后者主要负责调查与隐私有关的欺诈行为。
