Facebook 又爆資料洩漏,這是扎克伯格的戰爭和大考 | Global 24/7
資料洩漏、操縱選舉、國會聽證……Facebook 正度過自成立以來最艱難的一年。從今年 6 月到今天,短短三個月的時間,Facebook 的股價下跌了近 25%,市值蒸發近 1500 億美元。
但噩夢還遠沒有結束。Facebook 的隱私問題在美國當地時間本週五進一步升級,它在自己的官方部落格裡公佈,因為自身的平臺的安全漏洞,導致攻擊者可以完全接管、支配使用者的賬戶,這一安全問題影響了接近 5000 萬用戶。
從道德瑕疵到技術漏洞
3 月的時候,Facebook 面對的更多是一種道德指控。劍橋分析通過「合理地」利用 Facebook 的資料介面,獲得了 5000 萬用戶的資料,並將這些資料最終用於幫助特朗普在 2016 年的美國總統大選中勝出。這一切完全是在 Facebook 正常的產品機制框架下進行的,Facebook 的問題在於沒有提前預料到自己設計的產品機制有如此巨大的負面影響,以至於從某種程度上左右到了一場總統選舉。
但這一次,問題已經不是 Facebook 能夠控制的了。根據 Facebook 的說法,雖然安全漏洞現已被修復,但在之前,黑客通過此漏洞可以獲取被攻擊使用者個人資料中的全部內容,甚至可能包括他們與好友的通訊內容。Facebook 在週五早上對一共 9000 萬用戶的賬戶採取了相關保護措施,使用者需要在他們的所有裝置上重新輸入賬號密碼進行登入。其中有 5000 萬確定已受到該漏洞的影響,還有 4000 萬可能受到過該漏洞的影響。在週五晚些時候,Facebook 進一步確認,這些使用者使用 Facebook 賬戶登陸的第三方網站也可能受到影響,包括 Spotify、Tinder 和 Instagram。
在確認了漏洞影響到使用者的規模和嚴重程度後,Facebook 在受影響使用者的資訊流首頁頂部掛上了一個警示資訊。其中寫道「你的隱私和安全對我們而言非常重要,我們希望讓你瞭解我們為保護你的賬戶而採取的行動」,如果使用者點選檢視更多詳情,將被引導至一個顯示了其賬戶當前全部登入裝置的頁面,使用者可以在這個頁面將那些「非本人登入」的設備註銷。
壞訊息是,Facebook 到現在都沒有確定黑客的身份,以及他們可能的來源。Facebook 產品副總裁蓋伊羅森在接受記者採訪時表示,他們可能永遠不會知道這些被漏洞影響到的賬戶以及相關資料到底有沒有被竊取,被誰竊取,竊取後是否被濫用。一位名為「張志遠」的臺灣黑客曾在本週早些時候宣稱自己將「刪除扎克伯格的 Facebook 賬戶」,但 Facebook 官方表示「還未發現這個人與此次攻擊有關」。
由「隱私功能」引發的洩漏
Facebook 官方稱,對於此次資料洩漏事件的內部調查最初始於 9 月 16 日,起因是他們發現 Facebook 的使用者訪問量出現了不正常的激增。9 月 25 日,公司內部的工程團隊發現,黑客所利用的一系列漏洞都與一個叫做「訪客檢視」的功能相關。該功能的作用是讓使用者能夠以其他使用者的視角來檢視自己的頁面,明確自己在設定了相關的隱私設定後,他人到底還能否在自己的頁面上看到那些自己想隱藏的資訊。
而恰恰是因為這套系統在「什麼可見,什麼不可見」邏輯上的複雜性,最終導致了漏洞的出現。一個漏洞導致 Facebook 的視訊上傳工具錯誤地出現在「訪客檢視」頁面上,另一個漏洞則使黑客可以通過這個視訊上傳工具生成一個「登入令牌」。基於這兩個漏洞,黑客能夠生成並獲取任意使用者的「登入令牌」,並利用這個「令牌」獲取登入許可權,進入「已登入」的狀態,最終獲取使用者的全部賬戶資料和許可權。
補救和解決之道
在漏洞公開後的一場電話會議上,扎克伯格重申了他之前將安全問題比作「軍備競賽」的說法,著重強調了安全問題的嚴重性,以及 Facebook 對待相關問題的嚴肅態度。扎克伯格稱「我很高興我們發現了這個問題,使我們至少可以修復它,但不能否認的是,這個漏洞在出現之前就應當被杜絕。」
產品副總裁羅森也稱這是多個 bug 因為巧合接連觸發後才產生的結果,意味著只有高水平的黑客才能完成相關攻擊。Facebook 已經在週五早上將受影響使用者的賬戶全部登出,並重新設定了全部相關賬戶的「登入令牌」。並且他們也暫時關閉了「訪客檢視」這個功能,以針對這個功能進行更深入的問題排查。
在 Facebook 14 年的歷史中,過去這大半年的時間大概是一個最低谷的時刻了。在接管了全世界 22 億人的線上和線下生活之後,它掌控的力量如此強大,以至於能夠在完全未被察覺的情況下影響,甚至是左右選舉。這家號稱要連線一切的公司,因為將一切資料連線地過於緊密,正面臨多項聯邦調查,涉及隱私以及資料分享和使用等問題。
就像《蜘蛛俠》裡那句著名的臺詞,「With great power comes great responsibility.」(能力越大,責任也就越大),Facebook 今天所面臨的難題不是如何獲得增長或如何攫取利潤的問題,也不是在「作惡」和「不作惡」之間作出一個選擇。Facebook 從來都不是一家想要通過「作惡」來獲得利益的公司,它只是在掌握了強大的能量之後,最終騎虎難下。
這一次的資料洩漏,相當於從另一個角度向人們揭示了:Facebook 的問題,其實並非道德問題,而還是一個技術問題。在連線了 22 億人後,如何保證這個系統能平穩、安全地執行,讓想要鑽空子的人沒有可乘之機?這是扎克伯格在產品層面幾近完美地做完了這張考卷後,需要回答的一道,將最終決定 Facebook 命運的附加題。
參考連結:
ofollow,noindex">EVERYTHING WE KNOW ABOUT FACEBOOK'S MASSIVE SECURITY BREACH
Hacker says he'll livestream deletion of Zuckerberg's Facebook page
責任編輯:宋德勝
頭圖來源:flickr