您现在的位置:主页 > Y维生活 >脸书史上最大资安危机:漏洞存在超过一年,总受影响用户超过 9 >

脸书史上最大资安危机:漏洞存在超过一年,总受影响用户超过 9

栏目:Y维生活 | 来源:http://www.11sun.net | 时间:2020-08-01

脸书史上最大资安危机:漏洞存在超过一年,总受影响用户超过 9

脸书爆发史上最严重资安漏洞,导致超过 5000 万名用户帐号暴露在被入侵的风险中,然而脸书后知后觉,处理动作又慢半拍的状况下,让近期正在积极修复用户信任、宣称自己很安全的脸书,再次受到重大打击。

骇客利用「零时漏洞」入侵脸书,影响上千万帐号

此次事件可说是脸书史上最大规模的资安漏洞,连官方都喊罕见的 发布了安全公告 ,主动说明了此次的事情。

根据脸书的公告与其他媒体的报导,骇客透过了「检视角度(View as)」功能中的漏洞,取得了「存取权杖(Access Token)」资料,并可能藉此进入受影响者帐号查看相关个人资讯。

「检视角度(View as)」的功能,是脸书过去推出的一个隐私工具,它可以让使用者透过其他用户的角度查看自己帐号呈现在特定用户前的样貌,让用户确认自己的那些资讯是否有被公开给特定对象。

不过这个照理说是用来保护隐私的工具,如今却被骇客用来侵犯隐私,着实讽刺。

除此之外,脸书认为另外一个上传生日祝贺影片的功能,也包含了类似的漏洞,一样可以让骇客取得权限,查看受影响者的帐号内容。

根据估计,此次因相关漏洞而受影响的脸书帐号高达 5000 万个,另外还有超过 4000 万名用户的帐号也可能因此受到影响。

相关漏洞存在超过一年才被发现,脸书:无法估计损害程度

但这次事件最令人担忧的点,在于漏洞存在的时间,以及脸书对于入侵程度的把握。

据调查,此次事件中骇客採用的漏洞, 早在 2017 年 7 月就已存在,然而脸书直至 2018 年 9 月 25 日才发现相关漏洞 ,虽然展开了紧急修补作业,却仍迟至 27 日才将相关问题修复完成,并在 28 日採其他应对措施。

除此之外,脸书在官方报告中坦言,由于他们才刚展开调查,目 前他们无法确认骇客入侵的程度、帐号受影响的状态,骇客的攻击目的、攻击者的身分等关键资讯 ,若他们在后续调查中有任何发现,他们也将会第一时间发布更新资讯告知用户。

脸书:修补漏洞、受影响用户需重新登入

脸书表示,他们已经做了两个紧急处置:

    目前,所有的相关系统漏洞都已经修复完成,同时也暂时关闭了「检视角度」功能,直到进一步的状况明了。针对受影响的 5000 万名用户,以及其他可能受牵连的 4000 万名用户,脸书已经强制登出这些帐号所有已登入的装置,受影响的用户将会被脸书要求重新登入帐号,并且在登入后收到相关的报告,告知事情始末。

针对第二点,台湾用户在昨日(28)晚间也有许多人遭遇相关情况,但并非所有人都有收到相关的报告资讯,尚不确定是否是因为只有介面为英文的用户才会收到报告的缘故。

脸书表示,他们已经通报相关调查单位,正在积极的调查事情始末。

同时,他们也发布了官方影片,解说相关事情始末(英文):

检查登入装置、更改密码

对于受影响的用户,或是没有被登出,但是还是对自己帐号安全有疑虑的用户,可以按照以下方式进一步加强帐号安全:

    开启脸书网页,在右上方的下拉式清单中选择「设定」,在设定页面中选择「帐号安全和登入」。检查「你登入时所在的位置」当中,是否有陌生的装置或是登入位置。如果是受到影响的用户,在被脸书登出并自行登入后,这边应该会很乾净到只有一两个稍早自行登入的装置;而没受影响的用户若是想更保险一点的话,可以展开清单,并点选清单右下角的「登出所有连线装置」,手动重设所有认证。还有疑虑的用路,可使用下方的「更改密码」功能修改密码,并且启用「使用双重验证」功能,进一步保证帐号安全。
脸书史上最大资安危机:漏洞存在超过一年,总受影响用户超过 9

虽然,理论上本次骇客所使用的攻击手段,可以绕过上述的所有安全机制,但是我们也不能排除骇客在入侵期间,已经预料到漏洞会被脸书修补,并且事前取得了受害帐号的其他资讯,作为日后漏洞修补完时,入侵特定帐户的备案,因此若有疑虑的用户,还是可以参照上方的说明,进一步保障用户安全。

脸书近年来资安与隐私外洩争议不断,而脸书也正积极地想要透过各种改革,重新挽回用户对脸书的信任,然而此次事件的爆发,恐怕只会再次重挫脸书的隐私安全形象,看来脸书要重得用户的信任,恐怕还有很长一段路要走。

─ ─

参考
脸书官方公告
iThome: 脸书惊爆史上最大漏洞攻击,全球高达 5,000 万名用户个资恐遭骇客窃取
中央社: 脸书承认程式漏洞遭骇 5000 万帐号受影响
风传媒: 脸书爆发公司史上最大规模资安危机!5000 万用户个资不保、9000 万用户须重新登入
联合新闻网: 惊!脸书系统漏洞遭骇 恐影响约 5,000 万用户

其他你可能会想看的文章

脸书在台扩大投资新政,是否真有培育台湾人才的诚意?
美政府传要求脸书解密 Messenger 遭拒:不管重写程式或协助破解,我们都不干!
脸书向银行暗讨财务个资,连交易纪录都交出去你到底还剩什幺?
脸书拯救名声的最后底牌:用区块链打击假新闻有搞头吗?
资安团队公布暗黑骇客手法,病毒藏 USB 传输线一插电脑就中毒
Google 资安团队骇客列出整排 iOS 漏洞,喊话「我也想领奖金」叫阵苹果 CEO

上一篇:
下一篇: