Facebook再次出现数据泄露！超5000万用户受影响

文章来源：企鹅号 - 传智播客在线

传智播客博学谷

微信号:boxuegu-

get最新最全的IT技能

免费领取各种视频资料

摘要：Facebook又双叒叕曝出因安全漏洞遭到黑客攻击，致近5000万用户信息泄露事件。消息传出后，Facebook股价又跌了，跌幅从1.5%, 扩大至3.05%。最终报收于164.46美元，下跌2.59%。

据路透社29日消息，Facebook公司周五表示，黑客窃取了公司的数字登录密码，使他们能够接管Facebook多达5000万用户账户。

这是Facebook有史以来最严重的安全漏洞，目前还无法确认攻击者是否滥用了账户或窃取了私人信息。作为预防措施，Facebook重置了额外4000万个账户。因此，总共9000万用户直接或间接受到了此次事件影响。

事情的起因经过

据说这个漏洞是个历史遗留问题。去年FB上线了一个改动并调整了用户上传视频的技术细节。不巧的是，这个改动的代码在“查看为（View As）功能里留下了漏洞。

这个功能本来活跃度并不高，但最近Facebook技术团队发现调用它的请求暴增，这才引起了安全团队的怀疑，并在本周二找到了这颗隐藏地雷。Facebook 产品管理副总裁 Guy Rosen 特意写了一篇博客，Rosen 表示 Facebook View As功能的代码的确存在缺陷。

这个功能其实相当于开了第三人视角，毕竟FB内置的隐私设置太过复杂，说不准就打开了什么隐藏开关，良心玩家给了用户一根金手指，可以自己随时查看账户内容，就和你看别人视角是一样的。

但问题也就在这，利用这个漏洞黑客窃取了用户的“访问令牌”（access token），即无需重新输入密码就能保持登录服务的数字密码。

这个数字密码的功能就是帮用户保存密码，让懒癌患者不需要每次登录都输入一遍账户密码。有了这个令牌，黑客就可以直接得到接管用户账户的权限，在不知道密码的情况下登录相关的Facebook帐户，下载受害者的私人信息，照片和视频。

一位Facebook代表补充了更多细节，这个漏洞是三个bug交织在一起的复杂漏洞，第一个bug让一个本不该出现的视频上传功能冒了出来。第二个漏洞导致上传工具生成了访问token。第三个最关键，它让token到了其他人手里，跟实际访问者没什么关系。这就意味着第三方有机会直接访问用户账户！

厉害了，这就是传说中的令牌在此，速开城门？还不止能开一扇门，可能直接开了天窗。

Facebook的回应

据新浪科技曝出扎克伯格回应录音显示：“这些黑客试图查找我们（Facebook ）的应用程序界面，存取路径简介信息比如姓名性别家庭住址等等。但目前我们还不知道个人信息是否通过这个被泄露了，我们已经跟相关法律机构合作去锁定这些黑客，但我们目前还不知道背后的黑客是谁”。

扎克伯格表示“现实是，我们面临着持续不断的攻击，或为掌管这些账户，或者盗取这些信息。我很欣慰，我们及时发现了漏洞，并且修复了这些易受攻击面临安全问题的账户”。

目前这些账户的访问权限已被重置，另外Facebook重置了额外4000万个账户，也就是9000万个账户需要重新输入一遍登陆名（邮件或电话）和密码。同时，Facebook 已经暂时关闭了“View As”功能。

相比以前遮遮掩掩的态度，Facebook这次似乎有点正面刚的意思。只不过有意思的是有用户发现了删帖屏蔽事件，比如你在Facebook上发帖谈论关于这个漏洞会被屏蔽，在Facebook上分享相关新闻时也会被阻止，总之，就甭想着在脸书谈这事了，就是不发文字，分享相关图片也会被识别出来……

扎克伯格还称“我们担负着保护你们数据的责任，如果我们办不到这一点，便失去了服务于你们的资格“。

目前，扎克伯格表示已经在和FBI合作，对此事件进行调查。

不过此次事件对用户来说也不用慌，这次被波及的用户信息不包括密码，所以用户不需要重置密码。但信息泄露之事似乎成了Facebook的敏感之处，围观群众也在调侃，扎克伯格很有口嫌体直之风，嘴上说不介意，行动却很诚实。

参考来源：theregister，TechCrunch

雷锋网雷锋网(公众号：雷锋网)雷锋网

免费资料

扫码

添加站长进交流群

领取专属 10元无门槛券

私享最新 技术干货