審查刪帖、禁止討論！爆出驚天漏洞的Facebook給自己火上澆油

李根 問耕 發自 凹非寺

量子位 報道 | 公眾號 QbitAI

敏感時間點，敏感公司，最敏感的用戶數據，又一次泄露了。

而且最尷尬的是：曝出如此驚天漏洞後，這家公司竟然還玩起審查刪帖、禁止討論那一套。

不要臉？

可這公司名字就叫Facebook.

敏感時間敏感數據再次泄露

今天(9月29日)，北京時間大清早，Facebook主動披露了一起安全隱患事件。

Facebook識別監測到，自家代碼在「預覽(View As)」功能方面存在缺陷。

所謂「預覽」功能，可以讓你自己看到「在別人那裡的樣子」——並且是非好友關係的情況下。

類比起來，相當於在某個非好友的微信群里，以陌生人視角看自己資料。

但是，這個功能有一個大大大漏洞，包含了3個不同bug.

黑客可以利用這個漏洞，獲取「訪問令牌」(access token)，從而控制其他用戶的帳號。

而且，真有黑客這麼幹了！

據Facebook自己披露所言，漏洞最早出現時間2017年7月，但2018年9月16日才引起注意——因為當天忽然用戶活動大增，於是又過了一星期，Facebook工程師們終於確認：

近5000萬個用戶帳號的「訪問令牌」，已被黑客獲取。

什麼概念？

利用這些「訪問令牌」，一個攻擊者可以控制5000萬用戶帳號，更別說用這些帳號信息干點別的了。

雖然Facebook的CEO小扎親自出面說明：目前尚無證據表明有帳戶被盜用。

但這種事情，來得真不是時候。

因為當前，正處美國中期選舉的重要時間點。

中期選舉，不如美國總統大選那樣全球關注，但也是影響美國歷史進程的重要活動，畢竟爭奪的可是國會議席。

甚至美國兩黨之間的中期選舉廝殺，要比總統大選更慘烈、更無底線。

比如最近被提名大法官遭遇的性騷擾舉報事件。

於是，也總有一些莫名其妙的幺蛾子在中期選舉出現，隨便什麼風吹草動，也都讓美國人民草木皆兵。

更何況是深刻體味了川普大選時的Facebook數據泄露後果。

美國人民能不擔心嗎？

小扎說不擔心，然並卵

但與上次用戶信息泄露時的態度不同，這次Facebook可謂火急火燎，態度重視得一X.

CEO扎克伯格立即親自出面致歉、解釋，說這個問題非常嚴重，Facebook非常重視，問題已經得到了初步解決。

小扎還說，目前還沒有證據表明有帳號信息被盜。

並且Facebook重置了5000多萬受影響賬戶的訪問令牌，還出於謹慎考慮重置了另外4000萬去年曾使用過「預覽」功能的用戶。

這9000萬Facebook用戶被強行登出帳號，不得不登錄Facebook或他們的任何使用Facebook登錄的應用。

按最新財報數據，意味著4%的Facebook月活用戶會受此影響。

小扎還強調，暫時關閉「預覽」功能之外，Facebook也會繼續開發新工具，使其帳戶更加安全，並防止類似事件再發生。

另外，Facebook還主動報警了，目前FBI已經介入調查。

以上種種來看，Facebook應對姿態也還能令人接受。

雖然事件一曝光，股價下跌2.59%，市值蒸發126億美元。

但也跟這段時間Facebook高管離職影響相關。

美國公共管理和輿論方面，倒也沒有像上次泄露一樣炸。

然而，在一小撮工程師們聚集的地方——HackerNews——卻發現了一個Facebook自己火上澆油的大問題。

審查刪帖、禁止討論！

刪帖控評

首先，關於這個驚天漏洞的事兒，可不能輕易在Facebook上談論。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！