写点什么

Facebook 曝至今最严重安全漏洞,超过 5000 万用户受影响

  • 2018-10-15
  • 本文字数:1660 字

    阅读完需:约 5 分钟

9 月 28 日,Facebook 披露了一个安全漏洞,5000 万 Facebook 用户受到影响,恶意第三方可能会利用这个漏洞访问受影响的用户帐户。Facebook 已确认创始人马克扎克伯格及首席运营官谢丽尔桑德伯格是受影响的 5000 万账户之一。

这次的安全漏洞是 Facebook 自 2004 年创建以来出现的最大的安全问题,并且特别严重。Facebook 的产品管理副总裁 Guy Rosen 解释说,攻击者利用了与 Facebook 的“View As”功能相关的漏洞,这个漏洞允许攻击者窃取 Facebook 访问令牌,然后可以使用这些令牌来接管用户的帐户。

访问令牌是第一次登录后授予用户的一组代码,虽然不是密码,但是利用访问令牌无需密码也可以登陆账户。拥有访问令牌后,攻击者可以完全控制受害者的帐户,包括登录使用 Facebook 登录的第三方应用程序,包括 Instagram。

Facebook 的“View As"功能允许用户通过隐私设置将自己的个人资料设置成对不同的人显示得不一样,可以明确自己的朋友,朋友的朋友或公众可以查看哪些信息。

该安全漏洞是由 Facebook 工程师周二发现的。周五 Facebook 表示他们已经修复了这个漏洞。发现此漏洞后,Facebook 修复并重置了确认受影响的 5000 万帐户的安全令牌。为了安全起见,还为另外 4000 万可能受影响的帐户重置了安全令牌。最后,Facebook 关闭了“View As”功能。

“大约 9000 万人现在必须重新登录 Facebook 或任何使用 Facebook 登录的应用程序。在重新登录后,用户将在新闻 Feed 的顶部收到通知,了解发生了什么事情。”收到重新登录弹窗的用户无需更改密码,但是,无法重新登录 Facebook 的人 - 比如说忘记了密码 - 应该访问 Facebook 帮助中心。如果想退出 Facebook,可以访问设置中的“安全和登录”,其中列出了用户登录 Facebook 的地方,只需点击一下即可退出。

Guy Rosen 在博客中表示,Facebook 的调查仍处于早期阶段,还没有看到任何帐户遭到入侵和访问不当。但扎克伯格表示,攻击者使用 Facebook 开发人员 API 可以获取一些信息,例如“姓名,性别和家乡”,这些信息与用户的个人资料页面相关联。

另外,Facebook 表示私人消息不太可能被访问,也没有信用卡信息被泄露。

Facebook 不会说这 5000 万用户分布在哪里,但已经通知了 Facebook 的欧洲子公司所在的爱尔兰数据监管机构。扎克伯格并未透露出这次网络攻击以及用户流失的严重程度。“我们还不知道这些帐户是否被影响,但我们会继续研究这个问题,并会在我们了解更多信息后进行更新,”扎克伯格在周五发表的一篇博文中表示。“显然我们低估了我们的社区和服务所面临的攻击“。

据 Facebook 称,这次的漏洞源于他们在 2017 年 7 月对其视频上传功能所做的改变,Facebook 无意中在其视频上传器中引入了三个漏洞。但 Facebook 直到本月,即 2018 年 9 月 16 日发现异常活动激增时才知道这个漏洞。这意味着黑客可以长时间访问用户数据,因为 Facebook 目前还不确定攻击何时开始。正如 Rosen 所说,Facebook 的工程团队“仅在 9 月 25 日星期二下午才发现了这一最新的安全漏洞”。

Facebook 目前月活用户超过 20 亿,在此安全问题披露以后股价下跌超过 3% 。

“我们很抱歉。”Facebook 对于这次的安全问题向用户表示道歉。Facebook 的道歉年份始于今年 3 月份,当时 Facebook 被曝出将 9000 万用户的私人数据(包括他们的个人信息)泄露给政治研究公司剑桥分析(Cambridge Analytica)。自此,Facebook 接连曝出丑闻,包括多次侵犯隐私和政治动机的审查指控。

有评论称社交的黑暗时代已经到来,Facebook 在 2018 年负面新闻缠身,已出现用户的信任危机,这与优步在 2017 年的表现一样糟糕,甚至更糟。社交媒体公司现在面临越来越多的批评,包括外国选举干扰,错误信息的流动,仇恨言论和数据隐私等问题。

参考链接:

https://www.iafrikan.com/2018/09/28/facebook-reveals-latest-security-flaw-which-affects-50-million-users/

https://www.bbc.com/news/technology-45686890

https://www.rt.com/usa/439861-facebook-admits-security-breach-affected/

https://www.cnet.com/news/facebook-breach-affected-50-million-people/

2018-10-15 10:501789
用户头像
张婵 InfoQ 技术编辑

发布了 87 篇内容, 共 55.0 次阅读, 收获喜欢 218 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

2.69分钟完成BERT训练!新发CANN 5.0加持

华为云开发者联盟

人工智能 企业号九月金秋榜

中国DevOps平台市场,华为云再次位居领导者位置

华为云开发者联盟

云计算 华为云 企业号九月金秋榜

一个代码仓库(免费)与技术点 的故事

八点半的Bruce.D

GitHub Linux 网络服务 GitHub仓库

为什么Java中有三种基础的类加载器?

小小怪下士

Java 编程 程序员 程序

从近期欧美法规看软件供应链安全趋势

墨菲安全

软件供应链安全 开源安全与治理

分享一个研发工作优先级的计算公式 | Liga译文

LigaAI

Scrum 产品经理 敏捷开发 产品优先级 企业号九月金秋榜

作为一个菜鸟前端开发,面了20+公司之后整理的面试题

beifeng1996

前端 React

前端面试哪些是必须要掌握的

loveX001

JavaScript 前端

腾讯云,DevOps 领导者!

CODING DevOps

腾讯云 DevOps IDC CODING

打破联接壁垒,华为云IoT到底强在哪?

华为云开发者联盟

云计算 后端 物联网 华为云 企业号九月金秋榜

ESP32-C3入门教程 基础篇(八、NVS — 非易失性存储库的使用)

矜辰所致

ESP32-C3 9月月更 NVS

2022年面试复盘大全500道:Redis+ZK+Nginx+数据库+分布式+微服务

小小怪下士

数据库 redis 分布式 微服务 java面试

EasyCV带你复现更好更快的自监督算法-FastConvMAE

阿里云大数据AI技术

深度学习 算法 计算机视觉

开发者问第四期|统一扫码服务、机器学习服务等问题解答

HarmonyOS SDK

基于云原生技术打造全球融合通信网关

阿里云CloudImagine

云原生 网络 通信 通信云

老生常谈!数据库如何存储时间?你真的知道吗?

小小怪下士

Java 数据库 编程 程序员

智能电饭煲

OpenHarmony开发者

OpenHarmony

英特尔Wi-Fi 7速率提升5倍,为多应用场景带来改变

科技之家

云图说丨DDoS防护解决方案:DDoS大流量攻击防得住

华为云开发者联盟

云计算 后端 华为云 企业号九月金秋榜

9月《中国数据库行业分析报告》重磅发布!关键词:软硬兼施,创新融合

墨天轮

数据库 oracle cpu 硬件 国产数据库

【存疑】爬虫学习中decode问题

Sher10ck

存疑

高精度的“文件转换excel”背后藏着这些解题思路!

合合技术团队

人工智能 表格识别

TiDB+TiSpark部署--安装,扩缩容及升级操作

TiDB 社区干货传送门

安装 & 部署

Lua脚本在Redis事务中的应用实践

京东科技开发者

数据库 redis 事务 开发语言 Lua脚本

爆肝整理5000字!HTAP的关键技术有哪些?| StoneDB学术分享会#3

StoneDB

数据库 HTAP StoneDB 企业号九月金秋榜 9月月更

2022最新腾讯面经分享:Java 面试刷题 PDF(17 大专题 )

Java-fenn

Java 编程 程序员 面试 java面试

元宇宙场景技术实践|虚拟直播间搭建教程

ZEGO即构

音视频开发 元宇宙 虚拟直播

模块一

早安

极客时间架构训练营

架构师成长之路——什么是架构师

小小怪下士

Java 程序员 架构 后端

软件测试 | 测试开发 | 背熟这些 Docker 命令,面试再也不怕啦~

测吧(北京)科技有限公司

测试

Facebook曝至今最严重安全漏洞,超过5000万用户受影响_Meta_张婵_InfoQ精选文章