Facebook就像一辆失控的过山车,正在加速坠入深渊。

153820417357732700_a580x330

在被外国黑客入侵干预前年大选、前两天公司多名高管反水离职之后,这周还没过完,Facebook就迎来了更大的危机。

该公司产品管理副总裁盖·罗森(Guy Rosen)撰文称:有黑客利用公司的代码漏洞,破解了用户登录系统,多达5000万用户的账户可能被波及。

仿佛今年Cambridge Analytica数据泄露丑闻还没凉透,Facebook就又被黑客涮了。

FB技术团队在本周二下午发现了这个漏洞,并且已经通知美国执法部门。目前基本确定,已经有黑客利用这个漏洞发动攻击,

他们目前不知道发动攻击的黑客的身份,也不确定有多少用户的信息真的遭到泄露。

好在,1)被波及的用户信息不包括密码,所以用户不需要重置;2)发现之后,FB已经填上了这个漏洞

这个安全漏洞存在于Facebook的“View As”功能的代码中。

由于FB的隐私设置极为繁琐,用户经常不知道别人看得见、看不见自己发布的某些信息。View As这个功能可以让用户以第三人称观看自己的账户,确认隐私设置是否符合自己要求。

153820421173284900_a580xH

FB透露,利用这个漏洞黑客窃取了用户的“访问令牌”(access token)。

访问令牌的作用是为用户保存密码,这样用户就不用每次登陆都输一次密码验证身份。

取得令牌后,黑客可以黑进别人的账户,看到设置为不对外公开的帖文和信息。

作为应对,FB对受到漏洞影响的5000万用户以及可能成为进一步攻击目标的另外4000万用户,进行了访问令牌重设。

这意味着,将近1亿人今天登陆时将不得不重新输入邮件/电话和密码。

同时,Facebook已经暂时关闭了“View As”功能。

初步调查显示,去年FB上线了一个改动,调整了用户上传视频的技术细节而这个改动的代码在View As功能里留下了漏洞。

这并不是一个活跃度很高的功能,然而FB发现最近调用它的请求暴增,安全团队产生怀疑,才找到了漏洞。而且FB方面表示这个漏洞很难发现。

“这次漏洞并不是密码泄漏那种问题,即使有人提前发现,要利用漏洞也是要一个账号一个账号的攻击,”知名网络安全公司Palo Alto Networks联合创始人、现滴滴美国研究院负责人弓峰敏博士告诉硅星人。

他认为,这次的漏洞并不是十分严重。

Facebook是全球大的社交平台,有22亿的用户。在创立至今的15年里,这家公司也较少发生黑客攻击导致信息泄漏的事件。严格来讲,较大规模和影响恶劣的黑客事件,仅发生过一两次。

2013年,某个程序员自己搞砸了代码,代码核验也未发现,导致超过600万用户的联系资料泄露。

大约在2014、15年,数据分析公司Cambridge Analytica滥用FB的开发者平台,对超过8700万用户进行非法的数据挖掘,出售给部分美国本土竞选的参选团队,用于干预大选,FB的高层官员明知此事却没有任何作为。

今年年初,扎克伯格曾因这一丑闻出席国会听证会。FB被迫接受调查,股价在当时一度蒸发数百亿美元。

如今调查仍未结束,FB还没从Cambridge Analytica丑闻缓过劲来,就又发生了黑客入侵。

当然,严格来讲,FB也是受害者。

遗憾的是,同情它的人越来越少了。这次FB公告发出后,网上一片骂声,基本意思就是:

“费那么大劲研究如何挖掘我们的数据赚钱,怎么就不能多研究研究你们的漏洞。”

在事件发生后,美国主流媒体的报道中不约而同地引用了扎克伯格之前听证会上的宣誓:“我们有责任保护你们的数据,如果我们没法做到,那么我们也不配给你们提供服务。”

言下之意似乎在质问扎克伯格:你是否说话算话呢?

相关阅读

Facebook将斥资7.5亿美元扩建Henrico数据中心

Facebook首次因数据泄密丑闻遭罚款:金额66.4万美元

Facebook、谷歌售卖隐私数据,苹果反其道而行之

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-01-19 13:16:44
云安全 思科路由器发现严重安全漏洞,但表示不会修复
思科在其公告中指出:“因为已过产品生命周期,思科没有也不会发布解决此漏洞的软件更新。此漏洞没有解决方法。” <详情>
2020-08-17 09:54:01
云安全 隐秘的角落 | 探索云安全不为人知的12个黑暗面
早期的顾忌和恐慌,已经转变成了信任和依赖,但是随着企业对云服务的依赖日趋严重,以及近年来国内外云安全事件频发,企业也开始重新审视云安全问题。 <详情>
2020-07-29 10:47:31
云安全 网络安全大盲区:“人的漏洞”
2020年网络犯罪最显着的趋势就是产业化和“市场化”,“云犯罪”、“犯罪即服务”、“共享犯罪”、“事件犯罪”、“精准犯罪”等等,不断拉低APT、勒索软件、人工智能、僵 <详情>
2019-08-01 14:54:23
区块链 区块链安全漏洞频出?迅雷链新技术破解行业难题
经历了前期的爆发,区块链这股热潮在2019年逐渐回归理性,进入围绕技术发展的应用落地期。随着区块链应用到实体经济的案例不断增多,越来越多的信息写入区块链,甚至包括政 <详情>
2019-07-30 12:48:00
云安全 云安全的12个阴暗面
过去十年,云计算和云安全已经取得长足进步,越来越多的企业对云安全的认知,从最初的顾忌和恐慌,转变为盲目的信任和依赖。但是近年来随着国内外云安全事件的不断发作,企 <详情>