Facebook遭黑客攻擊，5千萬用戶數(shù)據(jù)面臨風(fēng)險(xiǎn)

作者：大數(shù)據(jù)文摘 2018-09-29 15:36:39

安全應(yīng)用安全

Facebook再次因數(shù)據(jù)泄露問題被推上風(fēng)口浪尖，這一次是因?yàn)楹诳凸簟?jù)透露，至少5千萬用戶的隱私數(shù)據(jù)因此受到威脅。

大數(shù)據(jù)文摘作品

編譯：魏子敏、驚蟄、CoolBoy

Facebook再次因數(shù)據(jù)泄露問題被推上風(fēng)口浪尖，這一次是因?yàn)楹诳凸簟?/p>

“這是個(gè)非常嚴(yán)重的安全問題。”扎克伯格如此描述本周五Facebook在視頻上傳功能上遭受到的的攻擊。并透露，至少5千萬用戶的隱私數(shù)據(jù)因此受到威脅。

Facebook股價(jià)應(yīng)聲下跌。

Facebook股價(jià)

就在剛剛，F(xiàn)acebook發(fā)表聲明，該公司網(wǎng)絡(luò)被黑客攻擊，大約5000萬用戶的隱私數(shù)據(jù)有泄露風(fēng)險(xiǎn)。

Facebook表示，他們?cè)诒局馨l(fā)現(xiàn)了這一數(shù)據(jù)泄漏。攻擊者利用代碼中的某一功能(見后文)得到了用戶的賬號(hào)信息。周五早些時(shí)候，F(xiàn)acebook采取常見的數(shù)據(jù)泄漏發(fā)生時(shí)的安全措施，超過9000萬用戶被強(qiáng)制要求退出登錄狀態(tài)。

與此同時(shí)，F(xiàn)acebook表示該安全漏洞已被修復(fù)，并已報(bào)告執(zhí)法人員。然而，F(xiàn)acebook說他們目前還不清楚攻擊者的身份，也不清楚攻擊的具體范圍，相關(guān)調(diào)查剛剛起步。

Facebook的CEO馬克·扎克伯格在和記者的電話會(huì)議中說，“我們?cè)诤車?yán)肅地處理這件事情。我很慶幸我們發(fā)現(xiàn)了漏洞，但首先這是個(gè)非常嚴(yán)重的事件。”

前文中所提到的，被攻擊者利用的功能叫做“檢視角度”(View As)，通過這一功能，用戶可以從其他人的角度閱覽自己的檔案。這一功能的本意是為用戶提供更完善的隱私管理。

Facebook表示，F(xiàn)acebook于2017年7月推出的視頻上傳功能存在缺陷。該漏洞允許攻擊者獲取“訪問token(access tokens)”，也就是允許訪問帳戶的數(shù)字密鑰。

攻擊何時(shí)發(fā)生的尚不可知，但據(jù)了解是在視頻上傳項(xiàng)目開始后。

據(jù)美國(guó)媒體cnet報(bào)道，本次的攻擊者通過一系列步驟侵入，并為數(shù)百萬Facebook用戶創(chuàng)建訪問令牌。他們首先查看那些可以使用另一個(gè)用戶訪問的Facebook個(gè)人資料。

此時(shí)，用戶的Facebook賬戶有時(shí)會(huì)出現(xiàn)發(fā)布生日視頻的入口。據(jù)Facebook稱，這一功能偶爾會(huì)有一個(gè)bug出現(xiàn)，讓黑客能夠針對(duì)目標(biāo)用戶生成訪問令牌，使他們能夠訪問用戶的帳戶信息。

使用訪問令牌，黑客可以控制用戶的帳戶。然后他們可以進(jìn)行下一個(gè)，并重復(fù)該過程并為該用戶生成訪問令牌。

此次襲擊事件發(fā)生之前，F(xiàn)acebook已經(jīng)面臨著巨大的輿論壓力。在今年3月廣受詬病的“數(shù)據(jù)門“事件--劍橋分析公司丑聞”后，人們對(duì)于Facebook是否正確使用掌握的大量用戶數(shù)據(jù)持續(xù)質(zhì)疑，該公司面臨聯(lián)邦監(jiān)管。

[[245286]]

Facebook面臨的主要挑戰(zhàn)之一，就是說服用戶這個(gè)公司可以負(fù)責(zé)任地處理大量數(shù)據(jù)。目前，每月有超過20億人使用Facebook和該公司的即時(shí)通訊工具WhatsApp以及Instagram。

“我們有責(zé)任保護(hù)您的數(shù)據(jù)，如果我們不能，那么我們就不值得為您服務(wù)，”扎克伯格先生今年在一份關(guān)于Cambridge Analytica的聲明中表示。

甚至在周五的披露之前，F(xiàn)acebook已經(jīng)陷入了對(duì)其數(shù)據(jù)共享和隱私實(shí)踐的多次聯(lián)邦調(diào)查。美國(guó)證券交易委員會(huì)已開始調(diào)查該公司有關(guān)Cambridge Analytica事件的陳述。

Facebook堅(jiān)稱它已經(jīng)與第三方制定了嚴(yán)格的數(shù)據(jù)共享政策，并縮減了能與開發(fā)商分享的數(shù)據(jù)量。在審計(jì)和Facebook相關(guān)的數(shù)千個(gè)外部應(yīng)用程序后，該公司暫停了對(duì)400多個(gè)第三方應(yīng)用程序的訪問權(quán)限。

在周五的電話會(huì)議上，F(xiàn)acebook產(chǎn)品管理副總裁蓋伊·羅森(Guy Rosen)拒絕透露攻擊者來自哪個(gè)國(guó)家。他說這次襲擊是“復(fù)雜的”，并且在Facebook的代碼中利用了三個(gè)獨(dú)立錯(cuò)誤。

黑客還試圖從Facebook的系統(tǒng)中收集人們的私人信息，包括姓名，性別和家鄉(xiāng)。

Facebook前首席安全官亞歷克斯•斯塔莫斯(Alex Stamos)8月離開了Facebook去斯坦福大學(xué)任教，之后Facebook一直在改組安全團(tuán)隊(duì)。他們希望安全團(tuán)隊(duì)的成員不只是作為獨(dú)立單元存在，而可以和整個(gè)公司的產(chǎn)品團(tuán)隊(duì)更緊密地合作。該公司表示，此舉旨在將安全性融入Facebook產(chǎn)品開發(fā)的每一步。

國(guó)會(huì)議員立即抓住最新的違規(guī)行為批評(píng)Facebook。

“這是另一個(gè)令人警醒的跡象，國(guó)會(huì)需要采取行動(dòng)保護(hù)社交媒體用戶的隱私和安全，”來自弗吉尼亞州的民主黨參議員馬克華納(Mark Warner)在Facebook 上發(fā)表了這樣的聲明，“Facebook應(yīng)該迅速地進(jìn)行全面調(diào)查并公布相關(guān)信息，只有這樣我們才能弄清楚到底發(fā)生了什么。”值得一提的是，這位參議員是Facebook 最有爭(zhēng)議的批評(píng)者之一。

事件發(fā)生后，Mark Zuckerberg和Facebook官方也第一時(shí)間在FB發(fā)布了貼文來解釋本次事件的緣由以及Facebook正在進(jìn)行的相關(guān)措施，以下是部分內(nèi)容：

我們昨晚修補(bǔ)了這個(gè)問題，并正在采取預(yù)防性措施控制影響范圍。我們還在調(diào)查，下面是我們已經(jīng)發(fā)現(xiàn)的內(nèi)容：

本周二(9月25日)，我們發(fā)現(xiàn)攻擊者利用技術(shù)漏洞竊取訪問令牌，這將允許他們登錄Facebook上大約5000萬人的帳戶。

我們還不知道這些帳戶是否被濫用，但我們會(huì)繼續(xù)研究這個(gè)問題，并會(huì)在我們有所發(fā)現(xiàn)時(shí)向大家分享更多信息。

為了解決這個(gè)問題，我們已經(jīng)采取了下面這些的措施：

我們修補(bǔ)了代碼安全漏洞，以防止此攻擊者或者其他任何人竊取額外的訪問令牌。我們使5000萬受影響人員的賬戶訪問令牌無效—導(dǎo)致他們被注銷。這些人必須重新登錄才能再次訪問其帳戶。我們還會(huì)在他們的新聞Feed上通過消息通知這些人他們重新登錄時(shí)發(fā)生的事情。
作為一項(xiàng)預(yù)防措施，我們暫時(shí)取消了和安全漏洞相關(guān)的功能，直到我們能夠?qū)ζ溥M(jìn)行全面調(diào)查并確保其中沒有其他安全問題為止，盡管我們認(rèn)為已經(jīng)解決了這個(gè)問題。該功能稱為“檢視角度”，它是一個(gè)隱私工具，可讓您了解自己的個(gè)人資料在其他人看來是怎樣的。
作為一項(xiàng)額外的預(yù)防措施，我們還會(huì)強(qiáng)制讓漏洞出現(xiàn)之后所有使用過相關(guān)功能的用戶登出Facebook。這將影響到另外4000多萬人，這些用戶需要重新登錄。目前，沒有任何證據(jù)表明這些帳戶信息已被泄露，但我們?nèi)詴?huì)采取這樣的預(yù)防措施。

參考資料：