原文链接:https://www.hackeye.net/securityevent/16579.aspx
黑客利用了Facebook平台上的一个漏洞,令将近5000万个Facebook账户的访问令牌面临被窃取的风险。访问令牌是一种数字密钥,能让用户在每次使用Facebook时都不用重新输入密码。Facebook工程师周二发现了漏洞,它存在于Facebook的View As功能中,该功能允许用户从其他账户(即Facebook账户)查看自己的个人资料,以检查他们的隐私设置是否有效等)。
“这次攻击利用了我们代码中多个问题的复杂交互。这是由于我们在2017年7月对视频上传功能所做的更改,这些更改影响了View As。攻击者如果找到这个漏洞,并使用它来获得访问令牌,他们就可以从那个帐户转移到其他帐户来窃取更多的令牌。”产品管理副总裁Guy Rosen表示。
造成故障的功能变化已经持续了至少两个月,但目前还不清楚妥协是何时发生的。Facebook正在对黑客行为进行初步调查,目前还没有确定是否有账户被滥用或信息被侵入,幕后黑手和攻击者本营所在地等信息都尚未明晰。
Facebook已经重置了5000万个受影响账户的访问令牌,作为预防,同时还重新设置了另外4000万个账户的访问令牌。这些账户的所有者将得到通知,并需要重新登录Facebook。
Rosen说,“人们的隐私和安全非常重要,我们很抱歉发生了这件事,这就是我们立即采取行动保护这些帐户并让用户知道发生了什么的原因。”
事件发生之际,Facebook一直在努力打击平台上的数据滥用和隐私问题以挽回因剑桥分析事件而严重下滑的公众形象。3月份的事件发生后,Facebook陷入了困境,据报道,美国证券交易委员会(Securities and Exchange Commission)、美国联邦调查局(FBI)和美国司法部(Department of Justice)都在调查这家社交媒体巨头。
Comparitech.com的隐私倡导者Paul Bischoff认为:“到目前为止,我们还没有得到调查进度的有效信息,但应该明确的是这与几个月前的剑桥分析公司(Cambridge Analytica)泄密事件截然不同。此次黑客直接攻击,他们利用了Facebook View As feature中的一个漏洞。相比之下,剑桥分析事件是Facebook自愿提供的数据滥用造成的。”
参议员网络安全会议联席主席、参议员Mark R. Warner, D-VA周五表示,本周Facebook的泄密事件是又一个发人深省的事件,由此看来国会需要加大力度,采取行动保护社交媒体用户的隐私和安全。