Facebook发现巨大安全漏洞，5000万用户受影响

Facebook周五证实了一个重大的安全漏洞，影响了近5000万用户，黑客利用Facebook的漏洞窃取了与用户个人资料相关的安全令牌，导致用户账户遭到了破坏。

Facebook的股价当天下跌2.6％。

漏洞出现在Facebook的“View As”功能中，该功能可以让账户持有人查看其个人资料在其他用户界面上的展示。攻击者可以利用该漏洞窃取Facebook的访问令牌，这些令牌可以用来接管账号。令牌充当“数字密钥”让用户保持登录，这样他们就不必在每次使用应用程序时都输入密码。

Facebook已经修复了此漏洞，并提醒执法人员注意该漏洞，并在调查期间暂时禁用了“View As”功能。

虽然调查仍在进行中，但Facebook已经确认此次攻击源于它在2017年7月对视频上传功能所做的更改，影响了“View As”功能。攻击者找到了这个bug，用它来窃取访问令牌，然后从目标帐户转到其他帐户，以便窃取更多的令牌。

Facebook产品管理副总裁Guy Rosen表示，Facebook重置了5000万受影响帐户的安全令牌，以及在过去一年中使用“View As”功能查看的4000万个其他帐户。

总的来说，Facebook的20亿用户中，大约有9000万用户需要重新登录他们的帐户以及通过Facebook登录访问的任何应用程序。当他们重新登录时，他们会看到一个通知在他们News Feed的顶部解释发生了什么。

Rosen表示，如果Facebook发现更多受影响的账号，它将立即重置访问令牌。对于采取预防措施提前退出Facebook的用户，Facebook的安全和登录部分可以让用户查看他们登录的位置，并允许一次退出所有设备。

Facebook表示调查还处于起步阶段，攻击者是谁以及他们的意图仍然是未知数。一些业内专家开始关注Facebook为什么不能及早发现漏洞。

“Facebook如此受欢迎，但令我感到惊讶的是，无论是外部的测试人员还是Facebook的内部IT安全团队，过去从未发现黑客并报告过这个漏洞，”Comparitech的隐私权倡导者Paul Bischoff说。 “我很想知道这个漏洞在被发现和利用之前存在了多长时间。”

https://www.darkreading.com/attacks-breaches/facebook-hacked-50-million-users-affected/d/d-id/1332927

【活动】

近期SDNLAB将承办或举办开源网络日和2018中国SD-WAN峰会两个活动，欢迎报名参加！