1. 梦飞科技 > 中国IDC > IDC新闻 > 国际资讯 >
  2. Facebook 又被黑客涮了,这次又坑了快一亿用户!

Facebook 又被黑客涮了,这次又坑了快一亿用户!

Facebook就像一辆失控的过山车,正在加速坠入深渊。

153820417357732700_a580x330

在被外国黑客入侵干预前年大选、前两天公司多名高管反水离职之后,这周还没过完,Facebook就迎来了更大的危机。

该公司产品管理副总裁盖·罗森(Guy Rosen)撰文称:有黑客利用公司的代码漏洞,破解了用户登录系统,多达5000万用户的账户可能被波及。

仿佛今年Cambridge Analytica数据泄露丑闻还没凉透,Facebook就又被黑客涮了。

FB技术团队在本周二下午发现了这个漏洞,并且已经通知美国执法部门。目前基本确定,已经有黑客利用这个漏洞发动攻击,

他们目前不知道发动攻击的黑客的身份,也不确定有多少用户的信息真的遭到泄露。

好在,1)被波及的用户信息不包括密码,所以用户不需要重置;2)发现之后,FB已经填上了这个漏洞

这个安全漏洞存在于Facebook的“View As”功能的代码中。

由于FB的隐私设置极为繁琐,用户经常不知道别人看得见、看不见自己发布的某些信息。View As这个功能可以让用户以第三人称观看自己的账户,确认隐私设置是否符合自己要求。

153820421173284900_a580xH

FB透露,利用这个漏洞黑客窃取了用户的“访问令牌”(access token)。

访问令牌的作用是为用户保存密码,这样用户就不用每次登陆都输一次密码验证身份。

取得令牌后,黑客可以黑进别人的账户,看到设置为不对外公开的帖文和信息。

作为应对,FB对受到漏洞影响的5000万用户以及可能成为进一步攻击目标的另外4000万用户,进行了访问令牌重设。

这意味着,免备案主机,将近1亿人今天登陆时将不得不重新输入邮件/电话和密码。

同时,亚洲服务器租用 欧洲服务器Facebook已经暂时关闭了“View As”功能。

初步调查显示,去年FB上线了一个改动,调整了用户上传视频的技术细节而这个改动的代码在View As功能里留下了漏洞。

这并不是一个活跃度很高的功能,然而FB发现最近调用它的请求暴增,安全团队产生怀疑,才找到了漏洞。而且FB方面表示这个漏洞很难发现。

“这次漏洞并不是密码泄漏那种问题,即使有人提前发现,要利用漏洞也是要一个账号一个账号的攻击,”知名网络安全公司Palo Alto Networks联合创始人、现滴滴美国研究院负责人弓峰敏博士告诉硅星人。

他认为,这次的漏洞并不是十分严重。

Facebook是全球最大的社交平台,有22亿的用户。在创立至今的15年里,这家公司也较少发生黑客攻击导致信息泄漏的事件。严格来讲,较大规模和影响恶劣的黑客事件,仅发生过一两次。

2013年,某个程序员自己搞砸了代码,代码核验也未发现,导致超过600万用户的联系资料泄露。

大约在2014、15年,数据分析公司Cambridge Analytica滥用FB的开发者平台,对超过8700万用户进行非法的数据挖掘,出售给部分美国本土竞选的参选团队,用于干预大选,FB的高层官员明知此事却没有任何作为。

今年年初,扎克伯格曾因这一丑闻出席国会听证会。FB被迫接受调查,股价在当时一度蒸发数百亿美元。

如今调查仍未结束,FB还没从Cambridge Analytica丑闻缓过劲来,就又发生了黑客入侵。

当然,严格来讲,FB也是受害者。

遗憾的是,同情它的人越来越少了。这次FB公告发出后,网上一片骂声,基本意思就是:

“费那么大劲研究如何挖掘我们的数据赚钱,怎么就不能多研究研究你们的漏洞。”

在事件发生后,美国主流媒体的报道中不约而同地引用了扎克伯格之前听证会上的宣誓:“我们有责任保护你们的数据,如果我们没法做到,那么我们也不配给你们提供服务。”

言下之意似乎在质问扎克伯格:你是否说话算话呢?

(责任编辑:梦飞科技)

    扫描二维码

    关注梦飞科技最新资讯