您的位置: 主页 > F泰生活 >Facebook严重安全漏洞︰毋需密码可使用帐户 近五千万人 >

Facebook严重安全漏洞︰毋需密码可使用帐户 近五千万人


2020-08-14


Facebook今日公布该公司在本周二(25日)发现的一个严重安全漏洞,有近5000万帐户受影响。Facebook指问题已解决,并已联络执法机关。

Facebook表示,他们已重新设定这5000万个帐户,以及另外4000万个可能受影响的帐户——有关用户需要重新登入Facebook,其他透过Facebook帐户登入的服务亦须重新登入。登入后这些用户会收到通知,解释今次事故,但用户毋须更改密码。

Facebook严重安全漏洞︰毋需密码可使用帐户 近五千万人

虽然调查仍在初步阶段,但Facebook指攻击者利用了其「检视角度」(View As)功能的程式码漏洞——这项功能让用户可以查看其他人会在其Facebook个人页面看到甚幺内容,以便检视其上载内容的私隐设定。

该漏洞令攻击者可以盗取其他用户的「存取权杖」(access tokens)。存取权杖可视为一组数码钥匙,在用户登入Facebook时产生,让他们在登入后不用每次使用时都重新输入密码。换言之,取得「存取权杖」后,攻击者就能够在没有密码的情况下使用帐户。

因此Facebook重设受影响用户的存取权杖后,他们需要重新输入密码才可登入帐户,而且毋须更改密码。Facebook亦正为「检视角度」功能作安全审查,暂时关闭此功能。

Facebook严重安全漏洞︰毋需密码可使用帐户 近五千万人

在星期二Facebook察觉到用户活动有可疑急增,调查后发现黑客使用甚API自动抓取用户的帐户资讯,于星期三通知了美国联邦调查局(FBI)。他们承认是次攻击「规模颇大」,除了确认受影响的5000万人外,Facebook亦重设了另外4000万曾被人透过「检视角度」查看的帐户,总共有9000万个帐户需要重新登入Facebook。

Faceboo在记者会上更详细描述攻击方法,指出攻击其实利用了系统三个错误的互动。第一个漏洞引致影片上载器会出现在(本来不应出现的)某些贴文;第二个漏洞令这个影片上载器产生存取权仗;第三个漏洞使用了「检视角度」的程式码错误,使产生的存取权仗属于正被检视的帐户,而非正在登入的帐户——至此攻击者就能直接使用任何帐户。

该公司产品管理副总裁罗辛(Guy Rosen)罗辛提到,目前仍未清楚黑客有否透过帐户收集私人讯息、贴文等资讯,但有收集姓名、性别和出生地等资讯。不过他强调一点︰「攻击者能够像拥有帐户般使用帐户。」

值得注意的是,今次漏洞源于2017年7月Facebook修改的程式码,这段期间可能有其他人用类似手法攻击,而未被Facebook发现。近日未有被登出的用户,可以在设定中的「帐户安全和登入」检视现时正在登入的装置,如有不明装置可将之登出。

相关文章︰

使用「双重认证」登入便安全?首先别再以SMS接收验证码 如果无法立即脱离Facebook,我们可以怎样保障私隐? Zuckerberg承认犯错,但未解释Facebook当初为何相信剑桥分析

资料来源︰

Security Update September 28, 2018 (Facebook Newsroom) Facebook confesses crappy code has exposed up to 90 million users to hackers (The Register) Facebook hacker stole login information for 50 million accounts (The Verge) Hackers may have accessed 50 million Facebook accounts in a new security breach (Recode)

上一篇:
下一篇:
申博太阳城_金沙赌版下载|全景化的生活服务|了解本地民生|网站地图 申博官网备用网址_皇家AAA安卓版下载 申博官网备用网址_万家博366