WAVE SUMMIT 2021深度学习开发者峰会 点击报名 了解详情
写点什么

Facebook 曝至今最严重安全漏洞,超过 5000 万用户受影响

2018 年 10 月 15 日

9 月 28 日,Facebook 披露了一个安全漏洞,5000 万 Facebook 用户受到影响,恶意第三方可能会利用这个漏洞访问受影响的用户帐户。Facebook 已确认创始人马克扎克伯格及首席运营官谢丽尔桑德伯格是受影响的 5000 万账户之一。

这次的安全漏洞是 Facebook 自 2004 年创建以来出现的最大的安全问题,并且特别严重。Facebook 的产品管理副总裁 Guy Rosen 解释说,攻击者利用了与 Facebook 的“View As”功能相关的漏洞,这个漏洞允许攻击者窃取 Facebook 访问令牌,然后可以使用这些令牌来接管用户的帐户。

访问令牌是第一次登录后授予用户的一组代码,虽然不是密码,但是利用访问令牌无需密码也可以登陆账户。拥有访问令牌后,攻击者可以完全控制受害者的帐户,包括登录使用 Facebook 登录的第三方应用程序,包括 Instagram。

Facebook 的“View As"功能允许用户通过隐私设置将自己的个人资料设置成对不同的人显示得不一样,可以明确自己的朋友,朋友的朋友或公众可以查看哪些信息。

该安全漏洞是由 Facebook 工程师周二发现的。周五 Facebook 表示他们已经修复了这个漏洞。发现此漏洞后,Facebook 修复并重置了确认受影响的 5000 万帐户的安全令牌。为了安全起见,还为另外 4000 万可能受影响的帐户重置了安全令牌。最后,Facebook 关闭了“View As”功能。

“大约 9000 万人现在必须重新登录 Facebook 或任何使用 Facebook 登录的应用程序。在重新登录后,用户将在新闻 Feed 的顶部收到通知,了解发生了什么事情。”收到重新登录弹窗的用户无需更改密码,但是,无法重新登录 Facebook 的人 - 比如说忘记了密码 - 应该访问 Facebook 帮助中心。如果想退出 Facebook,可以访问设置中的“安全和登录”,其中列出了用户登录 Facebook 的地方,只需点击一下即可退出。

Guy Rosen 在博客中表示,Facebook 的调查仍处于早期阶段,还没有看到任何帐户遭到入侵和访问不当。但扎克伯格表示,攻击者使用 Facebook 开发人员 API 可以获取一些信息,例如“姓名,性别和家乡”,这些信息与用户的个人资料页面相关联。

另外,Facebook 表示私人消息不太可能被访问,也没有信用卡信息被泄露。

Facebook 不会说这 5000 万用户分布在哪里,但已经通知了 Facebook 的欧洲子公司所在的爱尔兰数据监管机构。扎克伯格并未透露出这次网络攻击以及用户流失的严重程度。“我们还不知道这些帐户是否被影响,但我们会继续研究这个问题,并会在我们了解更多信息后进行更新,”扎克伯格在周五发表的一篇博文中表示。“显然我们低估了我们的社区和服务所面临的攻击“。

据 Facebook 称,这次的漏洞源于他们在 2017 年 7 月对其视频上传功能所做的改变,Facebook 无意中在其视频上传器中引入了三个漏洞。但 Facebook 直到本月,即 2018 年 9 月 16 日发现异常活动激增时才知道这个漏洞。这意味着黑客可以长时间访问用户数据,因为 Facebook 目前还不确定攻击何时开始。正如 Rosen 所说,Facebook 的工程团队“仅在 9 月 25 日星期二下午才发现了这一最新的安全漏洞”。

Facebook 目前月活用户超过 20 亿,在此安全问题披露以后股价下跌超过 3% 。

“我们很抱歉。”Facebook 对于这次的安全问题向用户表示道歉。Facebook 的道歉年份始于今年 3 月份,当时 Facebook 被曝出将 9000 万用户的私人数据(包括他们的个人信息)泄露给政治研究公司剑桥分析(Cambridge Analytica)。自此,Facebook 接连曝出丑闻,包括多次侵犯隐私和政治动机的审查指控。

有评论称社交的黑暗时代已经到来,Facebook 在 2018 年负面新闻缠身,已出现用户的信任危机,这与优步在 2017 年的表现一样糟糕,甚至更糟。社交媒体公司现在面临越来越多的批评,包括外国选举干扰,错误信息的流动,仇恨言论和数据隐私等问题。

参考链接:

https://www.iafrikan.com/2018/09/28/facebook-reveals-latest-security-flaw-which-affects-50-million-users/

https://www.bbc.com/news/technology-45686890

https://www.rt.com/usa/439861-facebook-admits-security-breach-affected/

https://www.cnet.com/news/facebook-breach-affected-50-million-people/

2018 年 10 月 15 日 10:50482
用户头像
张婵 InfoQ 技术编辑

发布了 87 篇内容, 共 45.5 次阅读, 收获喜欢 215 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

第八周作业总结

hunk

极客大学架构师训练营

架构师训练营第 1 期 - week12 - 作业

lucian

极客大学架构师训练营

架构师训练营 1 期 - 第 十二周作业(vaik)

行之

极客大学架构师训练营

ARTS打卡 第25周

引花眠

微服务 ARTS 打卡计划 springboot

ARTS打卡 第27周

引花眠

微服务 ARTS 打卡计划 springboot

week8-作业一

未来已来

week8-作业二-根据当周学习情况,完成一篇学习总结

未来已来

ARTS打卡 第26周

引花眠

微服务 ARTS 打卡计划 springboot

架构师训练营 - 第12周

袭望

架构师训练营第 1 期 -- 第十二周学习总结

发酵的死神

极客大学架构师训练营

第十二周 作业1

Yangjing

极客大学架构师训练营

数据应用(一)

wing

极客大学架构师训练营

架构第12周总结

Geek_Gu

极客大学架构师训练营

第十二周 数据应用(一)总结

钟杰

极客大学架构师训练营

第十二周 学习总结

熊桂平

极客大学架构师训练营

第十二周 作业

熊桂平

极客大学架构师训练营

架构师训练营第十二周学习笔记

一马行千里

与前端训练营的日子 --Week07

SamGo

学习

第3周学习总结

Binary

极客大学架构师训练营

第十二周 作业2

Yangjing

极客大学架构师训练营

架构第12周作业

Geek_Gu

极客大学架构师训练营

第三周总结

胡益

SpringBoot系列(6)- 测试

引花眠

spring springboot

架构师训练营 2 期 Week08 作业

CJian

Week_12 总结

golangboy

极客大学架构师训练营

架构师训练营 1 期 - 第 十二周总结(vaik)

行之

极客大学架构师训练营

架构师训练营 2 期 Week08 总结

CJian

Week 12 作業

Christy LAW

Week 12 學習總結

Christy LAW

第十二周 架构方法学习总结 —— 数据应用

兵长

第12周作业

paul

Facebook曝至今最严重安全漏洞,超过5000万用户受影响-InfoQ