Facebook遭黑客攻擊,5千萬使用者資料面臨風險
Facebook再次因資料洩露問題被推上風口浪尖,這一次是因為黑客攻擊。
“這是個非常嚴重的安全問題。”扎克伯格如此描述本週五Facebook在視訊上傳功能上遭受到的的攻擊。並透露,至少5千萬使用者的隱私資料因此受到威脅。
Facebook股價應聲下跌。
就在剛剛,Facebook發表宣告,該公司網路被黑客攻擊,大約5000萬用戶的隱私資料有洩露風險。
Facebook表示,他們在本週發現了這一資料洩漏。攻擊者利用程式碼中的某一功能(見後文)得到了使用者的賬號資訊。週五早些時候,Facebook採取常見的資料洩漏發生時的安全措施,超過9000萬用戶被強制要求退出登入狀態。
與此同時,Facebook表示該安全漏洞已被修復,並已報告執法人員。然而,Facebook說他們目前還不清楚攻擊者的身份,也不清楚攻擊的具體範圍,相關調查剛剛起步。
Facebook的CEO馬克·扎克伯格在和記者的電話會議中說,“我們在很嚴肅地處理這件事情。我很慶幸我們發現了漏洞,但首先這是個非常嚴重的事件。”
前文中所提到的,被攻擊者利用的功能叫做“檢視角度”(View As),通過這一功能,使用者可以從其他人的角度閱覽自己的檔案。這一功能的本意是為使用者提供更完善的隱私管理。
Facebook表示,Facebook於2017年7月推出的視訊上傳功能存在缺陷。該漏洞允許攻擊者獲取“訪問token(access tokens)”,也就是允許訪問帳戶的數字金鑰。
攻擊何時發生的尚不可知,但據瞭解是在視訊上傳專案開始後。
據美國媒體cnet報道,本次的攻擊者通過一系列步驟侵入,併為數百萬Facebook使用者建立訪問令牌。他們首先檢視那些可以使用另一個使用者訪問的Facebook個人資料。
此時,使用者的Facebook賬戶有時會出現釋出生日視訊的入口。據Facebook稱,這一功能偶爾會有一個bug出現,讓黑客能夠針對目標使用者生成訪問令牌,使他們能夠訪問使用者的帳戶資訊。
使用訪問令牌,黑客可以控制使用者的帳戶。然後他們可以進行下一個,並重復該過程併為該使用者生成訪問令牌。
此次襲擊事件發生之前,Facebook已經面臨著巨大的輿論壓力。在今年3月廣受詬病的“資料門“ ofollow,noindex">事件--劍橋分析公司醜聞 ”後,人們對於Facebook是否正確使用掌握的大量使用者資料持續質疑,該公司面臨聯邦監管。
Facebook面臨的主要挑戰之一,就是說服使用者這個公司可以負責任地處理大量資料。目前,每月有超過20億人使用Facebook和該公司的即時通訊工具WhatsApp以及Instagram。
“我們有責任保護您的資料,如果我們不能,那麼我們就不值得為您服務,”扎克伯格先生今年在一份關於Cambridge Analytica的宣告中表示。
甚至在週五的披露之前,Facebook已經陷入了對其資料共享和隱私實踐的多次聯邦調查。美國證券交易委員會已開始調查該公司有關Cambridge Analytica事件的陳述。
Facebook堅稱它已經與第三方制定了嚴格的資料共享政策,並縮減了能與開發商分享的資料量。在審計和Facebook相關的數千個外部應用程式後,該公司暫停了對400多個第三方應用程式的訪問許可權。
在週五的電話會議上,Facebook產品管理副總裁蓋伊·羅森(Guy Rosen)拒絕透露攻擊者來自哪個國家。他說這次襲擊是“複雜的”,並且在Facebook的程式碼中利用了三個獨立錯誤。
黑客還試圖從Facebook的系統中收集人們的私人資訊,包括姓名,性別和家鄉。
Facebook前首席安全官亞歷克斯•斯塔莫斯(Alex Stamos)8月離開了Facebook去斯坦福大學任教,之後Facebook一直在改組安全團隊。他們希望安全團隊的成員不只是作為獨立單元存在,而可以和整個公司的產品團隊更緊密地合作。該公司表示,此舉旨在將安全性融入Facebook產品開發的每一步。
國會議員立即抓住最新的違規行為批評Facebook。
“這是另一個令人警醒的跡象,國會需要採取行動保護社交媒體使用者的隱私和安全,”來自弗吉尼亞州的民主黨參議員馬克華納(Mark Warner)在Facebook 上發表了這樣的宣告,“Facebook應該迅速地進行全面調查並公佈相關資訊,只有這樣我們才能弄清楚到底發生了什麼。”值得一提的是,這位參議員是Facebook 最有爭議的批評者之一。
事件發生後,Mark Zuckerberg和Facebook官方也第一時間在FB釋出了貼文來解釋本次事件的緣由以及Facebook正在進行的相關措施,以下是部分內容:
我們昨晚修補了這個問題,並正在採取預防性措施控制影響範圍。我們還在調查,下面是我們已經發現的內容:
本週二(9月25日),我們發現攻擊者利用技術漏洞竊取訪問令牌,這將允許他們登入Facebook上大約5000萬人的帳戶。
我們還不知道這些帳戶是否被濫用,但我們會繼續研究這個問題,並會在我們有所發現時向大家分享更多資訊。
為了解決這個問題,我們已經採取了下面這些的措施:
1.我們修補了程式碼安全漏洞,以防止此攻擊者或者其他任何人竊取額外的訪問令牌。我們使5000萬受影響人員的賬戶訪問令牌無效—導致他們被登出。這些人必須重新登入才能再次訪問其帳戶。我們還會在他們的新聞Feed上通過訊息通知這些人他們重新登入時發生的事情。
2.作為一項預防措施,我們暫時取消了和安全漏洞相關的功能,直到我們能夠對其進行全面調查並確保其中沒有其他安全問題為止,儘管我們認為已經解決了這個問題。該功能稱為“檢視角度”,它是一個隱私工具,可讓您瞭解自己的個人資料在其他人看來是怎樣的。
3.作為一項額外的預防措施,我們還會強制讓漏洞出現之後所有使用過相關功能的使用者登出Facebook。這將影響到另外4000多萬人,這些使用者需要重新登入。目前,沒有任何證據表明這些帳戶資訊已被洩露,但我們仍會採取這樣的預防措施。