Facebook梅开二度，5000万账户信息泄露，股价跌超3%

在9月25日星期二下午，Facebook团队发现了一个影响近5000万个帐户的安全问题。Facebook表示非常重视这个问题，并立即采取了行动。

Facebook调查显示，攻击者利用Facebook代码中的一个漏洞影响了“ View As”这一功能，此功能可以让人们用访客视角了解他人在自己的个人主页能查看哪些内容，也可以以特定用户视角查看，在字段中输入他们的姓名按回车即可。这一功能的本意是为用户提供更完善的隐私管理。这个漏洞允许他们窃取Facebook访问令牌，然后用来接管人们的帐户。访问令牌相当于使人们登录到Facebook的数字密钥，因此他们无需在每次使用应用程序时重新输入密码。

Facebook产品管理副总裁盖伊罗森说，黑客还试图从Facebook的系统中收集人们的私人信息，包括姓名，性别和家乡。

Facebook采取的行动

首先，Facebook修复了漏洞并通知了执法部门。

其次，Facebook重置了他们知道受影响的近5000万个帐户的访问令牌，以保护他们的安全。他们还采取了预防措施，重新设置了去年受到“View As”查询的另外4000万个帐户的访问令牌。因此，现在大约有9000万人需要重新登录Facebook或任何使用Facebook登录的应用程序，但是并不需要修改密码。重新登录后，人们会在新闻Feed的顶部收到通知，说明发生了什么。最后，我们在进行全面的安全审核时暂时关闭了“查看为”功能。

于2018年9月28日下午1:08更新

第三，我们在进行彻底的安全审查时暂时关闭了“View As”功能。

此攻击利用了我们代码中多个问题的复杂交互。它源于我们在2017年7月对视频上传功能所做的更改，促使人们上传“生日快乐”视频，该功能影响了“View As”。攻击者不仅需要找到此漏洞并使用它来获取访问令牌，还必须从该帐户向其他帐户转移，以窃取更多的令牌。

技术细节

本周，Facebook发现外部用户攻击了我们的系统并利用了一个漏洞，当我们渲染“View As”功能的特定组件时，该漏洞在HTML中暴露了用户账户对Facebook的访问令牌。该漏洞是三个不同的bug相互作用的结果：

第一：View As是一种隐私功能，可让用户以他人视角查看自己的个人资料。View As应该是一个仅查看界面。但是，对于一种类型的设计（允许其他用户将内容发布到Facebook）—— 特别是允许人们祝福他们的朋友生日快乐的功能 —— View As错误地提供了发布视频的机会。据Facebook称，这不应该发生，但有时会因为一个bug而发生。

第二：2017年7月推出的新版本的视频上传器（由于第一个bug而出现的界面）错误地生成了具有Facebook移动应用程序权限的访问令牌，使他们能够访问用户的帐户。

第三：当视频上传器作为View As的一部分出现时，它生成的访问令牌不是以您作为查看者，而是您正在查找的用户。

正是这三个bug的组合成了一个漏洞：当使用“View As”功能用朋友的身份查看您的个人资料时，代码并没有删除让人们祝你生日快乐的功能；视频上传器会在不应该有的情况下生成访问令牌; 当生成访问令牌时，它不是以您的身份，而是被查找的人的身份。然后，该页面的HTML中提供了该访问令牌，攻击者可以将其提取并利用以另一个用户身份登录。

然后，攻击者可以从该访问令牌转到其他帐户，执行相同的操作并获得进一步的访问令牌。

谁受到了影响？

该公司不会透露世界上5000万用户的信息，但它已经通知了Facebook的欧洲子公司所在的爱尔兰数据监管机构。

该公司表示，用户提示再次登录不必更改密码。

“由于我们刚开始调查，我们尚未确定这些帐户是否被误用或是否有任何信息被访问。我们也不知道这些攻击的背后是谁或他们所在的位置。”

他补充说：“人们的隐私和安全非常重要，我们很抱歉这件事发生了。”

该公司已确认Facebook创始人马克扎克伯格及其首席运营官谢丽尔桑德伯格是受影响的5000万账户之一。

该公司向记者证实，该漏洞将允许黑客登录使用Facebook系统的其他账户。这意味着其他主要网站，如AirBnB和Tinder，也可能受到影响。

这对Facebook意味着什么？

Facebook因为这次事件周五股价下跌超过3％，Facebook每月活跃用户超过20亿，该公司正在努力说服美国及其他国家的立法者，它能够保护用户数据。

今年4月，扎克伯格先生就披露了英国分析公司剑桥分析公司（Cambridge Analytica）披露了数百万Facebook用户的个人信息。

批评人士称，此次袭击是Facebook尚未解决问题的最新迹象。“数据泄露事件不仅侵犯了我们的隐私。它们为我们的经济和国家安全带来巨大风险，“联邦贸易委员会委员罗希特乔普拉在一份声明中说。“无所作为的代价正在增长，我们需要答案。”

Facebook创始人马克扎克伯格周五在电话会议上表示，面对不良行为者的不断攻击，该公司将更加认真对待安全。

但Forrester的副总裁兼首席分析师杰夫波拉德表示，Facebook拥有如此多的数据意味着应该为此类攻击做好准备。

“攻击者访问了数据的位置，这使Facebook成为明显的目标，”他说。“这里主要关注的是平台的一个特性允许攻击者收集数千万用户的数据。这表明Facebook需要限制用户、API和特性对数据的访问权限的优先权”

当被英国广播公司询问时，Facebook无法调查为什么出现了漏洞，或者该公司的任何人是否会对泄露行为负责。

◆来源： https://newsroom.fb.com/news/2018/09/security-update/

           https://www.bbc.com/news/technology-45686890

◆本文版权归原作者所有，如有侵权请联系我们及时删除