脸书又出隐私事故又被黑客涮了 这次安全漏洞严
神州明达专注信息安全领域13年,上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。
来源:互联网
Facebook 就像一辆失控的过山车,正在加速坠入深渊。
在被外国黑客入侵干预前年大选、前两天公司多名高管反水离职之后,这周还没过完,Facebook 就迎来了更大的危机。
该公司产品管理副总裁盖·罗森 (Guy Rosen) 撰文称:有黑客利用公司的代码漏洞,破解了用户登录系统,多达5000万用户的账户可能被波及。
仿佛今年 Cambridge Analytica 数据泄露丑闻还没凉透,Facebook 就又被黑客涮了。
FB 技术团队在本周二下午发现了这个漏洞,并且已经通知美国执法部门。目前基本确定,已经有黑客利用这个漏洞发动攻击,
他们目前不知道发动攻击的黑客的身份,也不确定有多少用户的信息真的遭到泄露。
好在,1)被波及的用户信息不包括密码,所以用户不需要重置;2)发现之后,FB 已经填上了这个漏洞。
这个安全漏洞存在于 Facebook 的“View As”功能的代码中。
由于 FB 的隐私设置极为繁琐,用户经常不知道别人看得见、看不见自己发布的某些信息。View As 这个功能可以让用户以第三人称观看自己的账户,确认隐私设置是否符合自己要求。
FB 透露,利用这个漏洞黑客窃取了用户的“访问令牌”(access token)。
访问令牌的作用是为用户保存密码,这样用户就不用每次登陆都输一次密码验证身份。
取得令牌后,黑客可以黑进别人的账户,看到设置为不对外公开的帖文和信息。
作为应对,FB 对受到漏洞影响的5000万用户以及可能成为进一步攻击目标的另外4000万用户,进行了访问令牌重设。
这意味着,将近1亿人今天登陆时将不得不重新输入邮件/电话和密码。
同时,Facebook 已经暂时关闭了“View As”功能。
初步调查显示,去年 FB 上线了一个改动,调整了用户上传视频的技术细节而这个改动的代码在 View As 功能里留下了漏洞。
这并不是一个活跃度很高的功能,然而 FB 发现最近调用它的请求暴增,安全团队产生怀疑,才找到了漏洞。而且 FB 方面表示这个漏洞很难发现。
“这次漏洞并不是密码泄漏那种问题,即使有人提前发现,要利用漏洞也是要一个账号一个账号的攻击,”知名网络安全公司Palo Alto Networks 联合创始人、现滴滴美国研究院负责人弓峰敏博士告诉硅星人。
他认为,这次的漏洞并不是十分严重。
Facebook 是全球最大的社交平台,有22亿的用户。在创立至今的15年里,这家公司也较少发生黑客攻击导致信息泄漏的事件。严格来讲,较大规模和影响恶劣的黑客事件,仅发生过一两次。
2013年,某个程序员自己搞砸了代码,代码核验也未发现,导致超过600万用户的联系资料泄露。
大约在2014、15年,数据分析公司 Cambridge Analytica 滥用 FB 的开发者平台,对超过8700万用户进行非法的数据挖掘,出售给部分美国本土竞选的参选团队,用于干预大选,FB 的高层官员明知此事却没有任何作为。
今年年初,扎克伯格曾因这一丑闻出席国会听证会。FB 被迫接受调查,股价在当时一度蒸发数百亿美元。
如今调查仍未结束,FB 还没从 Cambridge Analytica 丑闻缓过劲来,就又发生了黑客入侵。
当然,严格来讲,FB 也是受害者。
遗憾的是,同情它的人越来越少了。这次 FB 公告发出后,网上一片骂声,基本意思就是:
“费那么大劲研究如何挖掘我们的数据赚钱,怎么就不能多研究研究你们的漏洞。”
在事件发生后,美国主流媒体的报道中不约而同地引用了扎克伯格之前听证会上的宣誓:
“我们有责任保护你们的数据,如果我们没法做到,那么我们也不配给你们提供服务。”
言下之意似乎在质问扎克伯格:你是否说话算话呢?