Facebook再次出现数据泄露!超5000万用户受影响

传智播客博学谷

微信号:boxuegu-

get最新最全的IT技能

免费领取各种视频资料

摘要:Facebook又双叒叕曝出因安全漏洞遭到黑客攻击,致近5000万用户信息泄露事件。消息传出后,Facebook股价又跌了,跌幅从1.5%, 扩大至3.05%。最终报收于164.46美元,下跌2.59%。

据路透社29日消息,Facebook公司周五表示,黑客窃取了公司的数字登录密码,使他们能够接管Facebook多达5000万用户账户。

这是Facebook有史以来最严重的安全漏洞,目前还无法确认攻击者是否滥用了账户或窃取了私人信息。作为预防措施,Facebook重置了额外4000万个账户。因此,总共9000万用户直接或间接受到了此次事件影响。

事情的起因经过

据说这个漏洞是个历史遗留问题。去年FB上线了一个改动并调整了用户上传视频的技术细节。不巧的是,这个改动的代码在“查看为(View As)功能里留下了漏洞。

这个功能本来活跃度并不高,但最近Facebook技术团队发现调用它的请求暴增,这才引起了安全团队的怀疑,并在本周二找到了这颗隐藏地雷。Facebook 产品管理副总裁 Guy Rosen 特意写了一篇博客,Rosen 表示 Facebook View As功能的代码的确存在缺陷。

这个功能其实相当于开了第三人视角,毕竟FB内置的隐私设置太过复杂,说不准就打开了什么隐藏开关,良心玩家给了用户一根金手指,可以自己随时查看账户内容,就和你看别人视角是一样的。

但问题也就在这,利用这个漏洞黑客窃取了用户的“访问令牌”(access token),即无需重新输入密码就能保持登录服务的数字密码。

这个数字密码的功能就是帮用户保存密码,让懒癌患者不需要每次登录都输入一遍账户密码。有了这个令牌,黑客就可以直接得到接管用户账户的权限,在不知道密码的情况下登录相关的Facebook帐户,下载受害者的私人信息,照片和视频。

一位Facebook代表补充了更多细节,这个漏洞是三个bug交织在一起的复杂漏洞,第一个bug让一个本不该出现的视频上传功能冒了出来。第二个漏洞导致上传工具生成了访问token。第三个最关键,它让token到了其他人手里,跟实际访问者没什么关系。这就意味着第三方有机会直接访问用户账户!

厉害了,这就是传说中的令牌在此,速开城门?还不止能开一扇门,可能直接开了天窗。

Facebook的回应

据新浪科技曝出扎克伯格回应录音显示:“这些黑客试图查找我们(Facebook )的应用程序界面,存取路径 简介 信息 比如姓名 性别 家庭 住址等等。但目前我们还不知道个人信息是否通过这个被泄露了,我们已经跟相关法律机构合作去锁定这些黑客,但我们目前还不知道背后的黑客是谁”。

扎克伯格表示“现实是,我们面临着持续不断的攻击,或为掌管这些账户,或者盗取这些信息。我很欣慰,我们及时发现了漏洞,并且修复了这些易受攻击 面临安全问题的账户”。

目前这些账户的访问权限已被重置,另外Facebook重置了额外4000万个账户,也就是9000万个账户需要重新输入一遍登陆名(邮件或电话)和密码。同时,Facebook 已经暂时关闭了“View As”功能。

相比以前遮遮掩掩的态度,Facebook这次似乎有点正面刚的意思。只不过有意思的是有用户发现了删帖屏蔽事件,比如你在Facebook上发帖谈论关于这个漏洞会被屏蔽,在Facebook上分享相关新闻时也会被阻止,总之,就甭想着在脸书谈这事了,就是不发文字,分享相关图片也会被识别出来……

扎克伯格还称“我们担负着保护你们数据的责任,如果我们办不到这一点,便失去了服务于你们的资格“。

目前,扎克伯格表示已经在和FBI合作,对此事件进行调查。

不过此次事件对用户来说也不用慌,这次被波及的用户信息不包括密码,所以用户不需要重置密码。但信息泄露之事似乎成了Facebook的敏感之处,围观群众也在调侃,扎克伯格很有口嫌体直之风,嘴上说不介意,行动却很诚实。

参考来源:theregister,TechCrunch

雷锋网雷锋网(公众号:雷锋网)雷锋网

免费资料

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180930A0TB7N00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券