9月28日,Facebook披露了一个安全漏洞,5000万Facebook用户受到影响,恶意第三方可能会利用这个漏洞访问受影响的用户帐户。Facebook已确认创始人马克扎克伯格及首席运营官谢丽尔桑德伯格是受影响的5000万账户之一。
这次的安全漏洞是Facebook自2004年创建以来出现的最大的安全问题,并且特别严重。Facebook的产品管理副总裁Guy Rosen解释说,攻击者利用了与Facebook的“View As”功能相关的漏洞,这个漏洞允许攻击者窃取Facebook访问令牌,然后可以使用这些令牌来接管用户的帐户。
访问令牌是第一次登录后授予用户的一组代码,虽然不是密码,但是利用访问令牌无需密码也可以登陆账户。拥有访问令牌后,攻击者可以完全控制受害者的帐户,包括登录使用Facebook登录的第三方应用程序,包括Instagram。
Facebook的“View As"功能允许用户通过隐私设置将自己的个人资料设置成对不同的人显示得不一样,可以明确自己的朋友,朋友的朋友或公众可以查看哪些信息。
该安全漏洞是由Facebook工程师周二发现的。周五Facebook表示他们已经修复了这个漏洞。发现此漏洞后,Facebook修复并重置了确认受影响的5000万帐户的安全令牌。为了安全起见,还为另外4000万可能受影响的帐户重置了安全令牌。最后,Facebook关闭了“View As”功能。
“大约9000万人现在必须重新登录Facebook或任何使用Facebook登录的应用程序。在重新登录后,用户将在新闻Feed的顶部收到通知,了解发生了什么事情。”收到重新登录弹窗的用户无需更改密码,但是,无法重新登录Facebook的人 - 比如说忘记了密码 - 应该访问Facebook帮助中心。如果想退出Facebook,可以访问设置中的“安全和登录”,其中列出了用户登录Facebook的地方,只需点击一下即可退出。
Guy Rosen在博客中表示,Facebook的调查仍处于早期阶段,还没有看到任何帐户遭到入侵和访问不当。但扎克伯格表示,攻击者使用Facebook开发人员API可以获取一些信息,例如“姓名,性别和家乡”,这些信息与用户的个人资料页面相关联。
另外,Facebook表示私人消息不太可能被访问,也没有信用卡信息被泄露。
Facebook不会说这5000万用户分布在哪里,但已经通知了Facebook的欧洲子公司所在的爱尔兰数据监管机构。扎克伯格并未透露出这次网络攻击以及用户流失的严重程度。“我们还不知道这些帐户是否被影响,但我们会继续研究这个问题,并会在我们了解更多信息后进行更新,”扎克伯格在周五发表的一篇博文中表示。“显然我们低估了我们的社区和服务所面临的攻击“。
据Facebook称,这次的漏洞源于他们在2017年7月对其视频上传功能所做的改变,Facebook无意中在其视频上传器中引入了三个漏洞。但Facebook直到本月,即2018年9月16日发现异常活动激增时才知道这个漏洞。这意味着黑客可以长时间访问用户数据,因为Facebook目前还不确定攻击何时开始。正如Rosen所说,Facebook的工程团队“仅在9月25日星期二下午才发现了这一最新的安全漏洞”。
Facebook目前月活用户超过20亿,在此安全问题披露以后股价下跌超过3% 。
“我们很抱歉。”Facebook对于这次的安全问题向用户表示道歉。Facebook的道歉年份始于今年3月份,当时Facebook被曝出将9000万用户的私人数据(包括他们的个人信息)泄露给政治研究公司剑桥分析(Cambridge Analytica)。自此,Facebook接连曝出丑闻,包括多次侵犯隐私和政治动机的审查指控。
有评论称社交的黑暗时代已经到来,Facebook在2018年负面新闻缠身,已出现用户的信任危机,这与优步在2017年的表现一样糟糕,甚至更糟。社交媒体公司现在面临越来越多的批评,包括外国选举干扰,错误信息的流动,仇恨言论和数据隐私等问题。
参考链接:
https://www.bbc.com/news/technology-45686890
https://www.rt.com/usa/439861-facebook-admits-security-breach-affected/
https://www.cnet.com/news/facebook-breach-affected-50-million-people/
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- [浏览器安全漏洞一] dll劫持漏洞
- 【FreeBuf字幕组】Web安全漏洞系列:Electron框架漏洞
- 甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞
- 甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞
- [浏览器安全漏洞二] hao123桔子浏览器 – 页面欺骗漏洞
- 现如今连安全漏洞命名都用表情符了:思科路由器安全启动漏洞????????????(生气猫)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。