科技巨頭公司深陷隱私保護漩渦 | 臉書5000萬用戶資訊洩露;推特忙修漏洞;谷歌面臨審查
北京時間 9 月 29 日早,Facebook 宣佈遭遇網路攻擊,導致約 5000 萬用戶資訊洩露。
FaceBook 聲稱,黑客利用的漏洞主要存在於 FaceBook 的 “View As” 功能中,這個功能可以讓使用者檢視自己的個人資料以及平臺中其他使用者對自己的看法。FaceBook 在 9 月 16 日注意到使用者活動大增,在 9 月 27 日發現了這個漏洞。漏洞在 2017 年 7 月 FaceBook 更改視訊上傳功能時出現的,共包含三個不同的 bug,可被用於獲取“訪問令牌”(access token),從而控制使用者賬號。
目前, FaceBook 已經重置了超5000萬受影響賬戶的 token,並出於謹慎考慮重置了另外 4000 萬去年曾使用過含安全漏洞的“View As”功能的使用者賬戶。這導致超過 9000 萬用戶被強行登出賬號, 按截至 6 月 30 日 22.3 億名 FaceBook 活躍使用者總數算,約 4% 的使用者受到影響。這些使用者只能重新輸入密碼登入 FaceBook 以及其他使用 FaceBook 賬號登入的應用,還將在“資訊流”(News Feed)中收到通知說明。Facebook 稱,使用者沒必要更改密碼。如果有更多賬號受到影響,則 Facebook 將馬上對其“訪問令牌”進行重置。想要登出的使用者可以訪問其設定中“安全和登入”部分,並選擇一鍵式退出。
此外,Facebook 還將暫時關閉 “View As”功能,將對其安全性進行審查。目前,FaceBook 已經確認了漏洞情況並修復完成,同時也啟動了調查。但調查仍處於初級階段,既不清楚黑客的身份和來源,也沒來得及充分評估攻擊的範圍,也不清楚是否有失竊的使用者資訊被濫用。洩露事件公開之前, Facebook 股價已經下跌了 1.5% 左右,訊息傳出後則進一步走低,一度下跌 3.05%。到收盤時下跌 2.59% 報 164.46 美元,盤中一度觸及 162.56 美元的低點。
這已經不是 FaceBook 第一次深陷資料洩露漩渦了,2008 年該公司曾因為技術故障導致 8000 萬用戶出生日期洩露、2013 年則不慎洩露 600 萬用戶電話號碼和電子郵件地址、2018 年 6 月 8700 萬用戶資料被劍橋分析非法獲取引起大規模探討。週五這起洩露事件後,FaceBook 也再次面臨集體訴訟。
Facebook CEO 扎克伯格迅速對此事作出迴應。他表示 Facebook 正與美國聯邦調查局(FBI)合作,以解決這一問題。根據歐洲通用資料保護法規(GDPR)義務,Facebook 也已將相關情況通報給愛爾蘭資料保護委員會。此外,FaceBook 還表示將把專注改進安全性的員工人數從 1 萬人增加至 2 萬人。
推特自曝可能洩露隱私的漏洞
據騰訊證券 9 月 22 日訊息,推特當天表示自己修補了一個可能導致外部軟體開發者共享使用者私人資訊的漏洞。推特公司發言人表示,目前“沒有證據表明任何資料在任何地方都能夠被誤用或利用”,並強調只有在滿足一系列複雜標準的情況下才會出現這種錯誤。 “這種情況幾乎不可能發生,但我們仍然希望徹底解決這一漏洞。”Twitter 表示將繼續調查這一情況,還在部落格中聲稱聯絡了可能受到影響的第三方“開發商”。這個漏洞於 9 月 10 日被發現,並在數小時內得到修復。Twitter 公司確保披露關於漏洞的最準確資訊。該發言人還表示,使用者之間的私人訊息並沒有洩露給外部軟體開發者。
據估計, 截至 7月 份的 3.35 億月活躍使用者中,受該問題影響的使用者不到 Twitter 總使用者體群的1%。與 FaceBook 相比,推特自曝漏洞的行為似乎更優前瞻性也更有誠意。但儘管如此,推特的股票價格仍然下跌超4%,其中在披露漏洞後股票迅速跌至日內新低。
就在推特自曝漏洞的前兩天,谷歌在給美國參議院的回信中也承認了 ofollow,noindex">允許第三方應用開發者掃描並收集 Gmail 資料 ,這也可能導致使用者資料被第三方濫用,侵犯隱私。隨後,谷歌母公司 Alphabet 的股價下跌 1.4% 。
科技巨頭紛紛深陷“隱私門”,讓使用者對社交網路的信任不斷下降,也為這些大公司的後續發展敲響了警鐘。9 月 26 日,美國商務委員會與科技公司關於消費者隱私保護的聽證會剛剛結束,FaceBook 的資料洩露就隨之而來。這起事件的後續處置,也許將成為萬眾矚目的焦點。而無論結果如何,最受傷的依舊是任人魚肉的使用者……
*參考來源: securityaffairs , theverge , xw.qq.com , 作者 AngelaY ,轉載請註明來自 FreeBuf.COM