臉書發現可致5000萬用戶資訊洩露的漏洞 相關報道曾被遮蔽
當地時間9月28日,Facebook公佈的一則安全更新稱,有黑客利用Facebook的“檢視為(View As)”功能漏洞盜用使用者的訪問令牌(無需輸入密碼即可登入賬號),從而侵入他們的賬號,可能有約5000萬用戶受到影響。目前,Facebook暫時停用了該功能,並重置了這些使用者的訪問令牌。
據Facebook產品管理部副總裁Guy Rosen透露,9月25日下午,工程師團隊檢測到外部攻擊,有黑客利用View As功能的漏洞獲取使用者的訪問令牌。據瞭解,View As功能允許使用者以他人的視角檢視自己的個人資料,屬於隱私功能的一種。
“漏洞由三方面原因造成”,Facebook安全隱私部門的副工程師Pedro Canahuati指出,首先,作為“只讀”功能,View As錯誤地給與了使用者上傳視訊的許可權;其次,在基於上一個原因得到的上傳視訊頁面裡,又會進一步錯誤地生成具有Facebook移動應用程式許可權的訪問令牌;最後,這個被錯誤生成的訪問令牌不是檢視者自己的,而是被檢視使用者的。
也就是說,黑客可以利用漏洞提取另一個使用者的訪問令牌,然後以這個人的身份登入Facebook。只要稍加修改,就可以被用於大規模提取使用者賬號資訊。
Canahuati稱,目前漏洞已經被修復,受影響的近5000萬個賬戶的訪問令牌也已經被重置。另外,Facebook還為去年內曾被人用View As功能檢視過的4000萬賬戶重置了訪問令牌,防止他們受到這次黑客攻擊的影響。此外,Facebook啟動了全面的安全稽核,並暫時關閉了View As功能。
不過,Facebook對9000萬用戶重置並訪問令牌並不涉及修改密碼,使用者只會在下次使用Facebook賬號時被要求重新輸入密碼。登入成功後,他們還會在資訊流中看到關於此次事件的通知。
Facebook創始人Mark Zuckerberg在與記者的電話會議中表示,這是一次極其嚴重的安全事件。“這說明總有人想從我們的社群裡獲取賬號和盜竊資訊,我們將為此付出長期持續的努力”,他說。
“由於調查才剛剛開始,我們尚未確定這些賬號資訊是否被濫用或被訪問,也不知道攻擊者是誰、在哪。”不過,Rosen同時表示,Facebook非常重視這次事件,他們希望“讓每個人都知道發生了什麼”,以及Facebook為此採取的行動。據悉,Facebook已經將此次事件上報給了FBI和愛爾蘭資料保護委員會。
事實上,這符合歐盟《一般資料保護條例》(GDPR)關於“發生資料洩露事件後,企業必須在72小時內通知使用者”的相關規定。有專家認為,正是GDPR的強制規定迫使Facebook在尚未了解事件全貌的情況下,並非完全出於自願地公佈了此次事件。
據美國科技新聞媒體TechCrunch報道,Facebook曾在平臺內遮蔽The Guardian和美聯社關於此次黑客攻擊事件的報道,並承認“這樣做是個錯誤”。在隨後發表的生命中,Facebook表示,“我們一發現此次事件就及時補救了,人們理應擁有分享這些報道的權利……我們對遮蔽報道造成的不便向大家道歉。”
據TechCrunch分析,這並不是Facebook有意為之,而是Facebook的內容自動檢測工具檢測出“很多人在傳播同一條連結”,從而做出把這兩篇報道認定為垃圾連結的決定。
據瞭解,Facebook的股價在發表上述宣告之前就已經下跌1.5%,最後以當日下跌2.6%收盤。