0
對小扎來說,又是多災多難的一個月。
繼不久前Twitter曝出修補了一個可能造成數(shù)以百萬計用戶私密消息被共享給第三方開發(fā)人員的漏洞,連累Facebook股價跟著短線跳水之后,9月28日,F(xiàn)acebook又雙叒叕曝出因安全漏洞遭到黑客攻擊,致近5000萬用戶信息泄露事件。消息傳出后,F(xiàn)acebook股價又跌了,跌幅從1.5%, 擴大至3.05%。最終報收于164.46美元,下跌2.59%。
真是男默女淚。
到底是怎么一回事?
據(jù)說這個漏洞是個歷史遺留問題。去年FB上線了一個改動并調(diào)整了用戶上傳視頻的技術細節(jié)。不巧的是,這個改動的代碼在“查看為(View As)功能里留下了漏洞。
這個功能本來活躍度并不高,但最近Facebook技術團隊發(fā)現(xiàn)調(diào)用它的請求暴增,這才引起了安全團隊的懷疑,并在本周二找到了這顆隱藏地雷。
Facebook 產(chǎn)品管理副總裁 Guy Rosen 特意寫了一篇博客,Rosen 表示 Facebook View As功能的代碼的確存在缺陷。
這個功能其實相當于開了第三人視角,畢竟FB內(nèi)置的隱私設置太過復雜,說不準就打開了什么隱藏開關,良心玩家給了用戶一根金手指,可以自己隨時查看賬戶內(nèi)容,就和你看別人視角是一樣的。
但問題也就在這,利用這個漏洞黑客竊取了用戶的“訪問令牌”(access token),即無需重新輸入密碼就能保持登錄服務的數(shù)字密碼。
這個數(shù)字密碼的功能就是幫用戶保存密碼,讓懶癌患者不需要每次登錄都輸入一遍賬戶密碼。有了這個令牌,黑客就可以直接得到接管用戶賬戶的權(quán)限,在不知道密碼的情況下登錄相關的Facebook帳戶,下載受害者的私人信息,照片和視頻。
一位Facebook代表補充了更多細節(jié),這個漏洞是三個bug交織在一起的復雜漏洞,第一個bug讓一個本不該出現(xiàn)的視頻上傳功能冒了出來。第二個漏洞導致上傳工具生成了訪問token。第三個最關鍵,它讓token到了其他人手里,跟實際訪問者沒什么關系。這就意味著第三方有機會直接訪問用戶賬戶!
厲害了,這就是傳說中的令牌在此,速開城門?還不止能開一扇門,可能直接開了天窗。
話說這個事影響也不小,據(jù)小扎透露,周五早間約有5000萬個Facebook賬戶受到攻擊,黑客們試圖查詢其應用程序界面,存取路徑,簡介,信息(姓名,性別,家庭住址等),但說實話,他們也不知道個人信息是否通過這個被泄露了。
目前這些賬戶的訪問權(quán)限已被重置,另外Facebook重置了額外4000萬個賬戶,也就是9000萬個賬戶需要重新輸入一遍登陸名(郵件或電話)和密碼。同時,F(xiàn)acebook 已經(jīng)暫時關閉了“View As”功能。
對一一臉懵逼的用戶來說也不用慌,這次被波及的用戶信息不包括密碼,所以用戶不需要重置密碼。
相比以前遮遮掩掩的態(tài)度,F(xiàn)acebook這次似乎有點正面剛的意思,雖然現(xiàn)在還不知道幕后黑客是誰,但主動聯(lián)系了FBI準備揪出這些別有用心的黑客。
只不過有意思的是有用戶發(fā)現(xiàn)了刪帖屏蔽事件,比如你在Facebook上發(fā)帖談論關于這個漏洞會被屏蔽,在Facebook上分享相關新聞時也會被阻止,總之,就甭想著在臉書談這事了,就是不發(fā)文字,分享相關圖片也會被識別出來……
這件事似乎成了Facebook的敏感之處,圍觀群眾也在調(diào)侃,小扎很有口嫌體直之風,嘴上說不介意,行動卻很誠實。
參考來源:theregister,TechCrunch
雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
