Et Washington-baseret datafirma, der byggede 48 millioner personlige profiler ved at skrabe data fra sociale medier-websteder, lækkede dataene offentligt, ifølge en rapport fra ZDnet.
Siden hævder, at firmaet, LocalBox, efterlod profildataene i en offentlig (men unoteret) Amazon S3-lagringsbøtte, hvor det var ikke beskyttet med adgangskode og blev til sidst afsløret af Chris Vickery, direktør for cyberrisikoforskning hos UpGuard.
Ifølge UpGuard, indeholdt bøtten en enkelt komprimeret fil, som, når den blev udtrukket, afslørede 1,2 TB fil med offentlige data.
Datasættet "kombinerer standard personlige oplysninger som navn og adresse med data om personens internetbrug, såsom deres LinkedIn-historier og Twitter-feeds."
"Denne kombination begynder at opbygge et tredimensionelt billede af hvert enkelt individ, der er berørt - hvem de er, hvad de taler om, hvad de kan lide, selv hvad de lever af - i bund og grund en plan, hvorfra man kan skabe målrettet overbevisende indhold, såsom reklamer eller politisk kampagne," rapporten fortsætter.
Sikkerhedsfirmaet har angiveligt advaret LocalBox om lækagen den 28. februar, og spanden blev sikret timer senere.
LocalBox' teknologichef, Ashfaq Rahman fortalte ZDnet i en e-mail, at "ingen anden person menes at have adgang til denne fil fra S3-bøtten."
Ved et tidligere telefonopkald fortalte han webstedet, at Vickery havde "hakket ind" på den offentligt tilgængelige S3-spand og anfægtede også antallet af offentlige profiler i datasættet og sagde, at det meste af det fremstillede data, der blev brugt til afprøvning.
Sidste måned befandt Facebook sig i varmt vand, efter at whistleblower Christopher Wylie anklagede dataselskabet Cambridge Analytica for indsamling af data fra 50 millioner Facebook-brugere at påvirke resultaterne af EU-afstemningen og det amerikanske præsidentvalg.
Siden da har det sociale netværk afsløret en række ændringer til sine API'er, hvilket begrænser udviklere i at få adgang til personlige data.
Siden deaktiverede også muligheden for at søge efter Facebook-profiler via e-mail eller telefonnummer, og hævdede, at funktionen var blevet "misbrugt" af ondsindede aktører.
Se relateret
"I betragtning af omfanget og sofistikeringen af den aktivitet, vi har set, tror vi, at de fleste mennesker på Facebook kunne have fået deres offentlige profil skrabet på denne måde. Så vi har nu deaktiveret denne funktion,” sagde Facebooks CTO Mike Schroepfer.
Fra slutningen af maj indfører EU meget skrappere databeskyttelsesregler som GDPR træder i kraft. På tirsdag, Facebook meddelte at det vil tilbyde bredere beskyttelse af privatlivets fred til alle sine brugere, ikke kun dem i EU.
"Alle - uanset hvor de bor - vil blive bedt om at gennemgå vigtig information om, hvordan Facebook bruger data og træffe valg om deres privatliv på Facebook," forklarer meddelelsen.
