Facebook驚現大型安全隱患問題，5000萬賬號受影響、甚至會被遠程操控

【獵雲網（微信號:ilieyun）】9月29日報道（編譯：張曉敏）

Facebook的安全隱患問題在周五嚴重升級，據社交媒體披露，Facebook在9月25日出現的安全問題對近5000萬用戶的賬戶產生了影響，嚴重程度前所未有。在劍橋分析事件中，第三方公司由於失誤訪問了合法測試軟體虹吸到的用戶數據，不同的是，這次的漏洞是攻擊者可以直接掌控用戶賬戶。

根據Facebook的說法，此次的攻擊漏洞已被修復。公司表示，攻擊者可以看到受害者個人資料中的所有內容，但目前尚不清楚私人消息是否泄漏以及相關數據是否被濫用。Facebook的產品管理副總裁Guy Rosen表示，針對此次安全事件，公司採取了三項措施。首先，Facebook修復了漏洞並通知了相關執法部門。其次，為了保護受影響的近5000萬個用戶的賬戶安全，公司重置了他們的登錄信息。為了預防其它賬戶受到影響，公司對去年受到查看的另外4000萬個賬戶的登錄信息也進行了重置，也就是說，目前大約有9000萬用戶需要重新登錄Facebook及與其賬號相關聯的應用程序。重新登錄後，用戶會在新聞頁面的頂部了解到具體發生了什麼。最後，Facebook正在進行徹底的安全審查，在此期間，將暫時關閉「查看」功能。

於2018年9月28日下午1:08進行安全更新，圖中包含新的通知圖標。

Facebook表示，受影響的用戶重新登錄後會在新聞頁面的頂部看到如下消息：您的隱私和安全對我們極為重要，我們希望您能知曉我們為保護您的賬戶做出的努力。如果您想了解更多，可繼續查看。如果您的賬戶未被重置，但您希望採取相關安全預防措施，您可以通過此頁面查看您的賬戶的當前登錄位置，並退出登錄。

目前，Facebook尚未確定目標黑客，也無從得知他們來自哪裡。周五，Guy Rosen在接受記者採訪時表示：「我們可能永遠都無法得知這些黑客是誰，我們正在努力弄清楚這些細節，如果我們獲得了更多信息，或者事情有所轉機，我們會及時更新帖子。此外，一旦我們發現有更多的賬戶受到影響，我們會立即重置其訪問許可權。」Facebook正在與聯邦調查局合作尋找攻擊者。一位名叫張志遠的台灣黑客在本周早些時候曾妄言要刪除馬克·扎伯格的Facebook帳戶，但Rosen表示目前無法得知該黑客是否與此次襲擊有關聯。

Lukasz Olejnik是一位安全和隱私研究員，同時也是萬維網聯盟技術架構組的成員，他說：「如果攻擊者利用了自定義且孤立的漏洞，那麼此次攻擊便極具針對性，調查人員就很難利用追蹤技術或者合理的邏輯將這些點連接起來。」

在同一個電話採訪中，Facebook首席執行官馬克·扎克伯格重申了他之前關於安全是「軍備競賽」的觀點。他說：「這是一個非常嚴重的安全隱患，我們一定會認真對待這個問題。同時，我們及時發現並且修復了這一漏洞，保護了大家的賬戶安全，這讓我感到欣慰，但我們無法否認這個問題的的確確發生了。」

Facebook稱，公司的調查開始於9月16日，在那天，訪問Facebook的用戶數量激增，這有違常態。9月25日，該公司的工程團隊發現，黑客貌似利用了一系列與Facebook功能相關的漏洞，讓每個人都可以看到其他用戶的全部個人資料。而「查看」功能原本可以讓用戶區分隱私以及對他人可見的內容。

以下是有關上述安全問題的一些技術細節。本周早期，我們發現有外部人員攻擊了我們的系統並利用了其中的漏洞，當我們檢查「查看」功能的特定組件時，我們發現該漏洞會讓用戶的訪問許可權在HTML中公開。該漏洞是三個不同漏洞相互作用的結果：第一個漏洞使得Facebook的視頻上傳工具圖標錯誤地出現在「查看」頁面上；第二個漏洞使得視頻上傳者可以獲得訪問許可，即允許Facebook帳戶在設備上保持登錄狀態，而無需每次訪問時重新登錄，這便獲得了與Facebook移動應用程序一樣的登錄許可權；最後，當視頻上傳者進入「查看」頁面時，就會提供黑客尋找的用戶訪問代碼，於是該上傳者就在不知不覺中泄露了自己的登錄信息。

Rosen說：「這是多個漏洞複雜交互的結果，能做到這樣的黑客，水平也達到了一定程度。」

他表示，這也解釋了周五早上用戶為什麼會退出登錄。公司在去年重置了一些直接受影響的賬戶以及部分其它賬戶的登陸許可，這些賬戶的「查看」功能曾被改為全部可見。為了繼續調查該事件，Facebook暫時關閉了「查看」功能。

網路安全公司TrustedSec的首席執行官David Kennedy說道：「安全檢測看似很容易捕獲這一問題，實則不然，除非在網站運行過程中實時動態檢測網站，否則這類安全漏洞十分隱晦，難以發現。」

2016年美國總統大選之後，Facebook未發現針對俄羅斯的大規模虛假宣傳活動，隨後Cambridge Analytica又在Facebook不知情的情況下收集了該公司的用戶數據，當Facebook的高管們還在這一系列醜聞中掙扎時，這次的漏洞事件無異於雪上加霜。

Facebook已經面臨多項關於隱私和數據分享問題的聯邦調查，其中包括聯邦貿易委員會以及美國證券交易委員會的兩項調查，這兩項調查均與劍橋分析事件有關。

在一系列偶有爭議的有關數據隱私的聽證會之後，Facebook面臨著國會更加嚴格的監管。周五，在Facebook宣布這次事件之後，參議院情報委員會副主席參議員Mark Warner提出對此次違規行為要進行「全面調查」，他在一份聲明中表示：「今天的數據泄露提醒人們，Facebook或信用諮詢公司Equifax等一小部分公司在沒有足夠安全措施的情況下掌握著如此多的美國人的個人數據，這是一件多麼危險的事。這同時警醒國會需要加強並採取相關措施保護社交媒體用戶的隱私和安全。」

除此之外，Facebook在歐洲也可能面臨前所未有的審查，新的通用數據保護法規（GDPR）要求公司在事發後72小時內向歐洲有關部門上報相關信息。法規還要求公司在用戶面臨高風險的情況下，直接向用戶通報相關內容。Facebook表示，公司已經向愛爾蘭數據保護委員會通報了該問題。

這已經是Facebook在近幾個月里出現的第二個安全漏洞。今年6月，Facebook發現了第一個漏洞，這個漏洞使得1400萬人的帖子可以被任何人查看，這是Facebook歷史上第一次面臨全部用戶賬戶被黑客攻陷的危機。Facebook對漏洞的處理，以及對關鍵信息披露的速度和全面性，在此次事件中顯得尤為重要。如今，馬克·扎克伯格再一次被推上了風口浪尖。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！