1. 程式人生 > >Facebook因更改功能使5000萬賬戶面臨安全風險

Facebook因更改功能使5000萬賬戶面臨安全風險

原文連結:https://www.hackeye.net/securityevent/16579.aspx

黑客利用了Facebook平臺上的一個漏洞,令將近5000萬個Facebook賬戶的訪問令牌面臨被竊取的風險。訪問令牌是一種數字金鑰,能讓使用者在每次使用Facebook時都不用重新輸入密碼。Facebook工程師週二發現了漏洞,它存在於Facebook的View As功能中,該功能允許使用者從其他賬戶(即Facebook賬戶)檢視自己的個人資料,以檢查他們的隱私設定是否有效等)。

“這次攻擊利用了我們程式碼中多個問題的複雜互動。這是由於我們在2017年7月對視訊上傳功能所做的更改,這些更改影響了View As。攻擊者如果找到這個漏洞,並使用它來獲得訪問令牌,他們就可以從那個帳戶轉移到其他帳戶來竊取更多的令牌。”產品管理副總裁Guy Rosen表示。

造成故障的功能變化已經持續了至少兩個月,但目前還不清楚妥協是何時發生的。Facebook正在對黑客行為進行初步調查,目前還沒有確定是否有賬戶被濫用或資訊被侵入,幕後黑手和攻擊者本營所在地等資訊都尚未明晰。

Facebook已經重置了5000萬個受影響賬戶的訪問令牌,作為預防,同時還重新設定了另外4000萬個賬戶的訪問令牌。這些賬戶的所有者將得到通知,並需要重新登入Facebook。

Rosen說,“人們的隱私和安全非常重要,我們很抱歉發生了這件事,這就是我們立即採取行動保護這些帳戶並讓使用者知道發生了什麼的原因。”

事件發生之際,Facebook一直在努力打擊平臺上的資料濫用和隱私問題以挽回因劍橋分析事件而嚴重下滑的公眾形象。3月份的事件發生後,Facebook陷入了困境,據報道,美國證券交易委員會(Securities and Exchange Commission)、美國聯邦調查局(FBI)和美國司法部(Department of Justice)都在調查這家社交媒體巨頭。

Comparitech.com的隱私倡導者Paul Bischoff認為:“到目前為止,我們還沒有得到調查進度的有效資訊,但應該明確的是這與幾個月前的劍橋分析公司(Cambridge Analytica)洩密事件截然不同。此次黑客直接攻擊,他們利用了Facebook View As feature中的一個漏洞。相比之下,劍橋分析事件是Facebook自願提供的資料濫用造成的。”

參議員網路安全會議聯席主席、參議員Mark R. Warner, D-VA週五表示,本週Facebook的洩密事件是又一個發人深省的事件,由此看來國會需要加大力度,採取行動保護社交媒體使用者的隱私和安全。