Facebook 又被黑客涮了,這次又坑了快一億使用者!
Facebook 就像一輛失控的過山車,正在加速墜入深淵。
在被外國黑客入侵干預前年大選、前兩天公司多名高管反水離職之後,這周還沒過完,Facebook 就迎來了更大的危機。
該公司產品管理副總裁蓋·羅森 (Guy Rosen) 撰文稱:有黑客利用公司的程式碼漏洞,破解了使用者登入系統,多達5000萬用戶的賬戶可能被波及。
彷彿今年 Cambridge Analytica 資料洩露醜聞還沒涼透,Facebook 就又被黑客涮了。
FB 技術團隊在本週二下午發現了這個漏洞,並且已經通知美國執法部門。目前基本確定,已經有黑客利用這個漏洞發動攻擊,
他們目前不知道發動攻擊的黑客的身份,也不確定有多少使用者的資訊真的遭到洩露。
好在,1)被波及的使用者資訊不包括密碼,所以使用者不需要重置;2)發現之後,FB 已經填上了這個漏洞
這個安全漏洞存在於 Facebook 的“View As”功能的程式碼中。
由於 FB 的隱私設定極為繁瑣,使用者經常不知道別人看得見、看不見自己釋出的某些資訊。View As 這個功能可以讓使用者以第三人稱觀看自己的賬戶,確認隱私設定是否符合自己要求。
FB 透露,利用這個漏洞黑客竊取了使用者的“訪問令牌”(access token)。
訪問令牌的作用是為使用者儲存密碼,這樣使用者就不用每次登陸都輸一次密碼驗證身份。
取得令牌後,黑客可以黑進別人的賬戶,看到設定為不對外公開的帖文和資訊。
作為應對,FB 對受到漏洞影響的5000萬用戶以及可能成為進一步攻擊目標的另外4000萬用戶,進行了訪問令牌重設。
這意味著,將近1億人今天登陸時將不得不重新輸入郵件/電話和密碼。
同時,Facebook 已經暫時關閉了“View As”功能。
初步調查顯示,去年 FB 上線了一個改動,調整了使用者上傳視訊的技術細節而這個改動的程式碼在 View As 功能裡留下了漏洞。
這並不是一個活躍度很高的功能,然而 FB 發現最近呼叫它的請求暴增,安全團隊產生懷疑,才找到了漏洞。而且 FB 方面表示這個漏洞很難發現。
“這次漏洞並不是密碼洩漏那種問題,即使有人提前發現,要利用漏洞也是要一個賬號一個賬號的攻擊,”知名網路安全公司Palo Alto Networks 聯合創始人、現滴滴美國研究院負責人弓峰敏博士告訴矽星人。
他認為,這次的漏洞並不是十分嚴重。
Facebook 是全球最大的社交平臺,有22億的使用者。在創立至今的15年裡,這家公司也較少發生黑客攻擊導致資訊洩漏的事件。嚴格來講,較大規模和影響惡劣的黑客事件,僅發生過一兩次。
2013年,某個程式員自己搞砸了程式碼,程式碼核驗也未發現,導致超過600萬用戶的聯絡資料洩露。
大約在2014、15年,資料分析公司 Cambridge Analytica 濫用 FB 的開發者平臺,對超過8700萬用戶進行非法的資料探勘,出售給部分美國本土競選的參選團隊,用於干預大選,FB 的高層官員明知此事卻沒有任何作為。
今年年初,扎克伯格曾因這一醜聞出席國會聽證會。FB 被迫接受調查,股價在當時一度蒸發數百億美元。
如今調查仍未結束,FB 還沒從 Cambridge Analytica 醜聞緩過勁來,就又發生了黑客入侵。
當然,嚴格來講,FB 也是受害者。
遺憾的是,同情它的人越來越少了。這次 FB 公告發出後,網上一片罵聲,基本意思就是:
“費那麼大勁研究如何挖掘我們的資料賺錢,怎麼就不能多研究研究你們的漏洞。”
在事件發生後,美國主流媒體的報道中不約而同地引用了扎克伯格之前聽證會上的宣誓:
“我們有責任保護你們的資料,如果我們沒法做到,那麼我們也不配給你們提供服務。”
言下之意似乎在質問扎克伯格:你是否說話算話呢?