Facebook驚現大型安全隱患問題,5000萬賬號受影響、甚至會被遠端操控
【獵雲網(微信號:)】9月29日報道(編譯:張曉敏)
Facebook的安全隱患問題在週五嚴重升級,據社交媒體披露,Facebook在9月25日出現的安全問題對近5000萬用戶的賬戶產生了影響,嚴重程度前所未有。在劍橋分析事件中,第三方公司由於失誤訪問了合法測試軟體虹吸到的使用者資料,不同的是,這次的漏洞是攻擊者可以直接掌控使用者賬戶。
根據Facebook的說法,此次的攻擊漏洞已被修復。公司表示,攻擊者可以看到受害者個人資料中的所有內容,但目前尚不清楚私人訊息是否洩漏以及相關資料是否被濫用。Facebook的產品管理副總裁Guy Rosen表示,針對此次安全事件,公司採取了三項措施。首先,Facebook修復了漏洞並通知了相關執法部門。其次,為了保護受影響的近5000萬個使用者的賬戶安全,公司重置了他們的登入資訊。為了預防其它賬戶受到影響,公司對去年受到檢視的另外4000萬個賬戶的登入資訊也進行了重置,也就是說,目前大約有9000萬用戶需要重新登入Facebook及與其賬號相關聯的應用程式。重新登入後,使用者會在新聞頁面的頂部瞭解到具體發生了什麼。最後,Facebook正在進行徹底的安全審查,在此期間,將暫時關閉“檢視”功能。
於2018年9月28日下午1:08進行安全更新,圖中包含新的通知圖示。
Facebook表示,受影響的使用者重新登入後會在新聞頁面的頂部看到如下訊息:您的隱私和安全對我們極為重要,我們希望您能知曉我們為保護您的賬戶做出的努力。如果您想了解更多,可繼續檢視。如果您的賬戶未被重置,但您希望採取相關安全預防措施,您可以通過此頁面檢視您的賬戶的當前登入位置,並退出登入。
目前,Facebook尚未確定目標黑客,也無從得知他們來自哪裡。週五,Guy Rosen在接受記者採訪時表示:“我們可能永遠都無法得知這些黑客是誰,我們正在努力弄清楚這些細節,如果我們獲得了更多資訊,或者事情有所轉機,我們會及時更新帖子。此外,一旦我們發現有更多的賬戶受到影響,我們會立即重置其訪問許可權。”Facebook正在與聯邦調查局合作尋找攻擊者。一位名叫張志遠的臺灣黑客在本週早些時候曾妄言要刪除馬克·扎伯格的Facebook帳戶,但Rosen表示目前無法得知該黑客是否與此次襲擊有關聯。
Lukasz Olejnik是一位安全和隱私研究員,同時也是全球資訊網聯盟技術架構組的成員,他說:“如果攻擊者利用了自定義且孤立的漏洞,那麼此次攻擊便極具針對性,調查人員就很難利用追蹤技術或者合理的邏輯將這些點連線起來。”
在同一個電話採訪中,Facebook執行長馬克·扎克伯格重申了他之前關於安全是“軍備競賽”的觀點。他說:“這是一個非常嚴重的安全隱患,我們一定會認真對待這個問題。同時,我們及時發現並且修復了這一漏洞,保護了大家的賬戶安全,這讓我感到欣慰,但我們無法否認這個問題的的確確發生了。”
Facebook稱,公司的調查開始於9月16日,在那天,訪問Facebook的使用者數量激增,這有違常態。9月25日,該公司的工程團隊發現,黑客貌似利用了一系列與Facebook功能相關的漏洞,讓每個人都可以看到其他使用者的全部個人資料。而“檢視”功能原本可以讓使用者區分隱私以及對他人可見的內容。
以下是有關上述安全問題的一些技術細節。本週早期,我們發現有外部人員攻擊了我們的系統並利用了其中的漏洞,當我們檢查“檢視”功能的特定元件時,我們發現該漏洞會讓使用者的訪問許可權在HTML中公開。該漏洞是三個不同漏洞相互作用的結果:第一個漏洞使得Facebook的視訊上傳工具圖示錯誤地出現在“檢視”頁面上;第二個漏洞使得視訊上傳者可以獲得訪問許可,即允許Facebook帳戶在裝置上保持登入狀態,而無需每次訪問時重新登入,這便獲得了與Facebook移動應用程式一樣的登入許可權;最後,當視訊上傳者進入“檢視”頁面時,就會提供黑客尋找的使用者訪問程式碼,於是該上傳者就在不知不覺中洩露了自己的登入資訊。
Rosen說:“這是多個漏洞複雜互動的結果,能做到這樣的黑客,水平也達到了一定程度。”
他表示,這也解釋了週五早上使用者為什麼會退出登入。公司在去年重置了一些直接受影響的賬戶以及部分其它賬戶的登陸許可,這些賬戶的“檢視”功能曾被改為全部可見。為了繼續調查該事件,Facebook暫時關閉了“檢視”功能。
網路安全公司TrustedSec的執行長David Kennedy說道:“安全檢測看似很容易捕獲這一問題,實則不然,除非在網站執行過程中實時動態檢測網站,否則這類安全漏洞十分隱晦,難以發現。”
2016年美國總統大選之後,Facebook未發現針對俄羅斯的大規模虛假宣傳活動,隨後Cambridge Analytica又在Facebook不知情的情況下收集了該公司的使用者資料,當Facebook的高管們還在這一系列醜聞中掙扎時,這次的漏洞事件無異於雪上加霜。
Facebook已經面臨多項關於隱私和資料分享問題的聯邦調查,其中包括聯邦貿易委員會以及美國證券交易委員會的兩項調查,這兩項調查均與劍橋分析事件有關。
在一系列偶有爭議的有關資料隱私的聽證會之後,Facebook面臨著國會更加嚴格的監管。週五,在Facebook宣佈這次事件之後,參議院情報委員會副主席參議員Mark Warner提出對此次違規行為要進行“全面調查”,他在一份宣告中表示:“今天的資料洩露提醒人們,Facebook或信用諮詢公司Equifax等一小部分公司在沒有足夠安全措施的情況下掌握著如此多的美國人的個人資料,這是一件多麼危險的事。這同時警醒國會需要加強並採取相關措施保護社交媒體使用者的隱私和安全。”
除此之外,Facebook在歐洲也可能面臨前所未有的審查,新的通用資料保護法規(GDPR)要求公司在事發後72小時內向歐洲有關部門上報相關資訊。法規還要求公司在使用者面臨高風險的情況下,直接向用戶通報相關內容。Facebook表示,公司已經向愛爾蘭資料保護委員會通報了該問題。
這已經是Facebook在近幾個月裡出現的第二個安全漏洞。今年6月,Facebook發現了第一個漏洞,這個漏洞使得1400萬人的帖子可以被任何人檢視,這是Facebook歷史上第一次面臨全部使用者賬戶被黑客攻陷的危機。Facebook對漏洞的處理,以及對關鍵資訊披露的速度和全面性,在此次事件中顯得尤為重要。如今,馬克·扎克伯格再一次被推上了風口浪尖。