***利用了Facebook平臺上的一個漏洞,令將近5000萬個Facebook賬戶的訪問令牌面臨被竊取的風險。訪問令牌是一種數字密鑰,能讓用戶在每次使用Facebook時都不用重新輸入密碼。Facebook工程師週二發現了漏洞,它存在於Facebook的View As功能中,該功能允許用戶從其他賬戶(即Facebook賬戶)查看自己的個人資料,以檢查他們的隱私設置是否有效等)。
“這次***利用了我們代碼中多個問題的複雜交互。這是由於我們在2017年7月對視頻上傳功能所做的更改,這些更改影響了View As。***者如果找到這個漏洞,並使用它來獲得訪問令牌,他們就可以從那個帳戶轉移到其他帳戶來竊取更多的令牌。”產品管理副總裁Guy Rosen表示。
造成故障的功能變化已經持續了至少兩個月,但目前還不清楚妥協是何時發生的。Facebook正在對***行爲進行初步調查,目前還沒有確定是否有賬戶被濫用或信息被侵入,幕後黑手和***者本營所在地等信息都尚未明晰。
Facebook已經重置了5000萬個受影響賬戶的訪問令牌,作爲預防,同時還重新設置了另外4000萬個賬戶的訪問令牌。這些賬戶的所有者將得到通知,並需要重新登錄Facebook。
Rosen說,“人們的隱私和安全非常重要,我們很抱歉發生了這件事,這就是我們立即採取行動保護這些帳戶並讓用戶知道發生了什麼的原因。”
事件發生之際,Facebook一直在努力打擊平臺上的數據濫用和隱私問題以挽回因劍橋分析事件而嚴重下滑的公衆形象。3月份的事件發生後,Facebook陷入了困境,據報道,美國證券交易委員會(Securities and Exchange Commission)、美國聯邦調查局(FBI)和美國司法部(Department of Justice)都在調查這家社交媒體巨頭。
Comparitech.com的隱私倡導者Paul Bischoff認爲:“到目前爲止,我們還沒有得到調查進度的有效信息,但應該明確的是這與幾個月前的劍橋分析公司(Cambridge Analytica)泄密事件截然不同。此次***直接***,他們利用了Facebook View As feature中的一個漏洞。相比之下,劍橋分析事件是Facebook自願提供的數據濫用造成的。”
參議員網絡安全會議聯席主席、參議員Mark R. Warner, D-VA週五表示,本週Facebook的泄密事件是又一個發人深省的事件,由此看來國會需要加大力度,採取行動保護社交媒體用戶的隱私和安全。