2018-09-30 10:32:007433人阅读
继不久前Twitter曝出修补了一个可能造成数以百万计用户私密消息被共享给第三方开发人员的漏洞,连累Facebook股价跟着短线跳水之后,9月28日,Facebook又双叒叕曝出因安全漏洞遭到黑客攻击,致近5000万用户信息泄露事件。消息传出后,Facebook股价又跌了,跌幅从1.5%, 扩大至3.05%。最终报收于164.46美元,下跌2.59%。
真是男默女泪。
到底是怎么一回事?
据说这个漏洞是个历史遗留问题。去年FB上线了一个改动并调整了用户上传视频的技术细节。不巧的是,这个改动的代码在“查看为(View As)功能里留下了漏洞。
这个功能本来活跃度并不高,但最近Facebook技术团队发现调用它的请求暴增,这才引起了安全团队的怀疑,并在本周二找到了这颗隐藏地雷。
Facebook 产品管理副总裁 Guy Rosen 特意写了一篇博客,Rosen 表示 Facebook View As功能的代码的确存在缺陷。
这个功能其实相当于开了第三人视角,毕竟FB内置的隐私设置太过复杂,说不准就打开了什么隐藏开关,良心玩家给了用户一根金手指,可以自己随时查看账户内容,就和你看别人视角是一样的。
但问题也就在这,利用这个漏洞黑客窃取了用户的“访问令牌”(access token),即无需重新输入密码就能保持登录服务的数字密码。
这个数字密码的功能就是帮用户保存密码,让懒癌患者不需要每次登录都输入一遍账户密码。有了这个令牌,黑客就可以直接得到接管用户账户的权限,在不知道密码的情况下登录相关的Facebook帐户,下载受害者的私人信息,照片和视频。
一位Facebook代表补充了更多细节,这个漏洞是三个bug交织在一起的复杂漏洞,第一个bug让一个本不该出现的视频上传功能冒了出来。第二个漏洞导致上传工具生成了访问token。第三个最关键,它让token到了其他人手里,跟实际访问者没什么关系。这就意味着第三方有机会直接访问用户账户!
厉害了,这就是传说中的令牌在此,速开城门?还不止能开一扇门,可能直接开了天窗。
话说这个事影响也不小,据小扎透露,周五早间约有5000万个Facebook账户受到攻击,黑客们试图查询其应用程序界面,存取路径,简介,信息(姓名,性别,家庭住址等),但说实话,他们也不知道个人信息是否通过这个被泄露了。
目前这些账户的访问权限已被重置,另外Facebook重置了额外4000万个账户,也就是9000万个账户需要重新输入一遍登陆名(邮件或电话)和密码。同时,Facebook 已经暂时关闭了“View As”功能。
对一一脸懵逼的用户来说也不用慌,这次被波及的用户信息不包括密码,所以用户不需要重置密码。
相比以前遮遮掩掩的态度,Facebook这次似乎有点正面刚的意思,虽然现在还不知道幕后黑客是谁,但主动联系了FBI准备揪出这些别有用心的黑客。
只不过有意思的是有用户发现了删帖屏蔽事件,比如你在Facebook上发帖谈论关于这个漏洞会被屏蔽,在Facebook上分享相关新闻时也会被阻止,总之,就甭想着在脸书谈这事了,就是不发文字,分享相关图片也会被识别出来……
这件事似乎成了Facebook的敏感之处,围观群众也在调侃,小扎很有口嫌体直之风,嘴上说不介意,行动却很诚实。