審查刪帖、禁止討論!Facebook曝有史以來最嚴重的安全漏洞
Facebook再次因資料洩露問題被推上風口浪尖,這一次是因為黑客攻擊。
繼不久前Twitter曝出修補了一個可能造成數以百萬計使用者私密訊息被共享給第三方開發人員的漏洞,連累Facebook股價跟著短線跳水之後,29日,Facebook宣佈,該公司發現了一個安全問題,黑客竊取了公司的數字登入密碼,使他們能夠接管Facebook多達5000萬使用者賬戶。且無法確認攻擊者是否濫用了賬戶或竊取了私人資訊。
作為預防措施,Facebook重置了額外4000萬個賬戶。因此,總共9000萬使用者直接或間接受到了此次事件影響。
據說這是Facebook有史以來最嚴重的安全漏洞,對此,Facebook稱,目前該漏洞意境被修復並告知了執法部門。但還不清楚黑客的身份和來源,還沒有來得及充分評估攻擊的範圍。該公司也正處於調查的開始階段。
事情起因經過
據說這個漏洞是個歷史遺留問題。去年FB上線了一個改動並調整了使用者上傳視訊的技術細節。不巧的是,這個改動的程式碼在“檢視為(View As)功能裡留下了漏洞。
這個功能本來活躍度並不高,但最近Facebook技術團隊發現呼叫它的請求暴增,這才引起了安全團隊的懷疑,並在本週二找到了這顆隱藏地雷。Facebook 產品管理副總裁 Guy Rosen 特意寫了一篇部落格,Rosen 表示 Facebook View As功能的程式碼的確存在缺陷。
這個功能其實相當於開了第三人視角,畢竟FB內建的隱私設定太過複雜,說不準就打開了什麼隱藏開關,良心玩家給了使用者一根金手指,可以自己隨時檢視賬戶內容,就和你看別人視角是一樣的。
但問題也就在這,利用這個漏洞黑客竊取了使用者的“訪問令牌”(access token),即無需重新輸入密碼就能保持登入服務的數字密碼。
這個數字密碼的功能就是幫使用者儲存密碼,讓懶癌患者不需要每次登入都輸入一遍賬戶密碼。有了這個令牌,黑客就可以直接得到接管使用者賬戶的許可權,在不知道密碼的情況下登入相關的Facebook帳戶,下載受害者的私人資訊,照片和視訊。
▲一位Facebook代表補充了更多細節,這個漏洞是三個bug交織在一起的複雜漏洞,第一個bug讓一個本不該出現的視訊上傳功能冒了出來。第二個漏洞導致上傳工具生成了訪問token。第三個最關鍵,它讓token到了其他人手裡,跟實際訪問者沒什麼關係。這就意味著第三方有機會直接訪問使用者賬戶!
厲害了,這就是傳說中的令牌在此,速開城門?還不止能開一扇門,可能直接開了天窗。
Facebook迴應
據新浪科技曝出扎克伯格迴應錄音顯示:“這些黑客試圖查詢我們(Facebook )的應用程式介面、存取路徑、簡介、資訊,比如姓名、性別、家庭、住址等等。
但目前我們還不知道個人資訊是否通過這個被洩露了,我們已經跟相關法律機構合作去鎖定這些黑客,但我們目前還不知道背後的黑客是誰”。
扎克伯格表示“現實是,我們面臨著持續不斷的攻擊,或為掌管這些賬戶,或者盜取這些資訊。我很欣慰,我們及時發現了漏洞,並且修復了這些易受攻擊面臨安全問題的賬戶”。
▲目前這些賬戶的訪問許可權已被重置,另外Facebook重置了額外4000萬個賬戶,也就是9000萬個賬戶需要重新輸入一遍登陸名(郵件或電話)和密碼。
同時,Facebook 已經暫時關閉了“View As”功能。
相比以前遮遮掩掩的態度,Facebook這次似乎有點正面剛的意思。只不過有意思的是有使用者發現了刪帖遮蔽事件,比如你在Facebook上發帖談論關於這個漏洞會被遮蔽,在Facebook上分享相關新聞時也會被阻止,總之,就甭想著在臉書談這事了,就是不發文字,分享相關圖片也會被識別出來……
扎克伯格還稱“我們擔負著保護你們資料的責任,如果我們辦不到這一點,便失去了服務於你們的資格“。
目前,扎克伯格表示已經在和FBI合作,對此事件進行調查。
這是今年Facebook第二次發生大規模使用者資料洩露事件,上次事件發生在今年的1月。此次事件是對深陷資料洩露泥淖的Facebook的又一個沉重打擊,都說人艱不拆,可是又一次發生資料洩露風險該怎麼辦。
現下社會,網際網路高速發展,資料爆炸,而單單通過一個手機號or社交賬號,就可窺探到你所有的個人隱私,扒的體無完膚,於是資料隱私就成了最大的焦點。
那麼在這種環境下,該如何保護好自己的隱私?
超級科技網路安全團隊建議個人使用者要注意以下幾點:
· 商場中的活動需填寫資訊時,拒絕填寫或虛假填寫;
· 不要隨意透露自己或家人的家庭住址、聯絡方式、身份證資訊等;
· 網路社交環境中切勿輕易上傳個人照片;
· 關掉部分軟體中的GPS定位,如QQ/微信的附近人;
· 在社交中儘量不要使用真實個人資訊;
· 切勿炫耀,更不要拿真是資訊炫耀;
· 計算機需安裝好防毒軟體,防治木馬入侵;
·隱私檔案做加密處理;
·在使用公共場合計算機時,使用結束記得清理個人賬號資訊;