臉書發現可致5000萬用戶資訊洩露的漏洞 相關報道曾被遮蔽

當地時間9月28日，Facebook公佈的一則安全更新稱，有黑客利用Facebook的“檢視為（View As）”功能漏洞盜用使用者的訪問令牌（無需輸入密碼即可登入賬號），從而侵入他們的賬號，可能有約5000萬用戶受到影響。目前，Facebook暫時停用了該功能，並重置了這些使用者的訪問令牌。

據Facebook產品管理部副總裁Guy Rosen透露，9月25日下午，工程師團隊檢測到外部攻擊，有黑客利用View As功能的漏洞獲取使用者的訪問令牌。據瞭解，View As功能允許使用者以他人的視角檢視自己的個人資料，屬於隱私功能的一種。

“漏洞由三方面原因造成”，Facebook安全隱私部門的副工程師Pedro Canahuati指出，首先，作為“只讀”功能，View As錯誤地給與了使用者上傳視訊的許可權；其次，在基於上一個原因得到的上傳視訊頁面裡，又會進一步錯誤地生成具有Facebook移動應用程式許可權的訪問令牌；最後，這個被錯誤生成的訪問令牌不是檢視者自己的，而是被檢視使用者的。

也就是說，黑客可以利用漏洞提取另一個使用者的訪問令牌，然後以這個人的身份登入Facebook。只要稍加修改，就可以被用於大規模提取使用者賬號資訊。

Canahuati稱，目前漏洞已經被修復，受影響的近5000萬個賬戶的訪問令牌也已經被重置。另外，Facebook還為去年內曾被人用View As功能檢視過的4000萬賬戶重置了訪問令牌，防止他們受到這次黑客攻擊的影響。此外，Facebook啟動了全面的安全稽核，並暫時關閉了View As功能。

不過，Facebook對9000萬用戶重置並訪問令牌並不涉及修改密碼，使用者只會在下次使用Facebook賬號時被要求重新輸入密碼。登入成功後，他們還會在資訊流中看到關於此次事件的通知。

Facebook創始人Mark Zuckerberg在與記者的電話會議中表示，這是一次極其嚴重的安全事件。“這說明總有人想從我們的社群裡獲取賬號和盜竊資訊，我們將為此付出長期持續的努力”，他說。

“由於調查才剛剛開始，我們尚未確定這些賬號資訊是否被濫用或被訪問，也不知道攻擊者是誰、在哪。”不過，Rosen同時表示，Facebook非常重視這次事件，他們希望“讓每個人都知道發生了什麼”，以及Facebook為此採取的行動。據悉，Facebook已經將此次事件上報給了FBI和愛爾蘭資料保護委員會。

事實上，這符合歐盟《一般資料保護條例》（GDPR）關於“發生資料洩露事件後，企業必須在72小時內通知使用者”的相關規定。有專家認為，正是GDPR的強制規定迫使Facebook在尚未了解事件全貌的情況下，並非完全出於自願地公佈了此次事件。

據美國科技新聞媒體TechCrunch報道，Facebook曾在平臺內遮蔽The Guardian和美聯社關於此次黑客攻擊事件的報道，並承認“這樣做是個錯誤”。在隨後發表的生命中，Facebook表示，“我們一發現此次事件就及時補救了，人們理應擁有分享這些報道的權利……我們對遮蔽報道造成的不便向大家道歉。”

據TechCrunch分析，這並不是Facebook有意為之，而是Facebook的內容自動檢測工具檢測出“很多人在傳播同一條連結”，從而做出把這兩篇報道認定為垃圾連結的決定。

據瞭解，Facebook的股價在發表上述宣告之前就已經下跌1.5%，最後以當日下跌2.6%收盤。