審查刪帖、禁止討論!爆出驚天漏洞的Facebook給自己火上澆油
李根 問耕 發自 凹非寺
量子位 報道 | 公眾號 QbitAI
敏感時間點,敏感公司,最敏感的用戶數據,又一次泄露了。
而且最尷尬的是:曝出如此驚天漏洞後,這家公司竟然還玩起審查刪帖、禁止討論那一套。
不要臉?
可這公司名字就叫Facebook.
敏感時間敏感數據再次泄露
今天(9月29日),北京時間大清早,Facebook主動披露了一起安全隱患事件。
Facebook識別監測到,自家代碼在「預覽(View As)」功能方面存在缺陷。
所謂「預覽」功能,可以讓你自己看到「在別人那裡的樣子」——並且是非好友關係的情況下。
類比起來,相當於在某個非好友的微信群里,以陌生人視角看自己資料。
但是,這個功能有一個大大大漏洞,包含了3個不同bug.
黑客可以利用這個漏洞,獲取「訪問令牌」(access token),從而控制其他用戶的帳號。
而且,真有黑客這麼幹了!
據Facebook自己披露所言,漏洞最早出現時間2017年7月,但2018年9月16日才引起注意——因為當天忽然用戶活動大增,於是又過了一星期,Facebook工程師們終於確認:
近5000萬個用戶帳號的「訪問令牌」,已被黑客獲取。
什麼概念?
利用這些「訪問令牌」,一個攻擊者可以控制5000萬用戶帳號,更別說用這些帳號信息干點別的了。
雖然Facebook的CEO小扎親自出面說明:目前尚無證據表明有帳戶被盜用。
但這種事情,來得真不是時候。
因為當前,正處美國中期選舉的重要時間點。
中期選舉,不如美國總統大選那樣全球關注,但也是影響美國歷史進程的重要活動,畢竟爭奪的可是國會議席。
甚至美國兩黨之間的中期選舉廝殺,要比總統大選更慘烈、更無底線。
比如最近被提名大法官遭遇的性騷擾舉報事件。
於是,也總有一些莫名其妙的幺蛾子在中期選舉出現,隨便什麼風吹草動,也都讓美國人民草木皆兵。
更何況是深刻體味了川普大選時的Facebook數據泄露後果。
美國人民能不擔心嗎?
小扎說不擔心,然並卵
但與上次用戶信息泄露時的態度不同,這次Facebook可謂火急火燎,態度重視得一X.
CEO扎克伯格立即親自出面致歉、解釋,說這個問題非常嚴重,Facebook非常重視,問題已經得到了初步解決。
小扎還說,目前還沒有證據表明有帳號信息被盜。
並且Facebook重置了5000多萬受影響賬戶的訪問令牌,還出於謹慎考慮重置了另外4000萬去年曾使用過「預覽」功能的用戶。
這9000萬Facebook用戶被強行登出帳號,不得不登錄Facebook或他們的任何使用Facebook登錄的應用。
按最新財報數據,意味著4%的Facebook月活用戶會受此影響。
小扎還強調,暫時關閉「預覽」功能之外,Facebook也會繼續開發新工具,使其帳戶更加安全,並防止類似事件再發生。
另外,Facebook還主動報警了,目前FBI已經介入調查。
以上種種來看,Facebook應對姿態也還能令人接受。
雖然事件一曝光,股價下跌2.59%,市值蒸發126億美元。
但也跟這段時間Facebook高管離職影響相關。
美國公共管理和輿論方面,倒也沒有像上次泄露一樣炸。
然而,在一小撮工程師們聚集的地方——HackerNews——卻發現了一個Facebook自己火上澆油的大問題。
審查刪帖、禁止討論!
刪帖控評
首先,關於這個驚天漏洞的事兒,可不能輕易在Facebook上談論。
※AI已火,宗教當生,矽谷出了個「洪秀全」
※速感科技CTO張一茗:視覺SLAM的技術現狀和應用趨勢
TAG:量子位 |