HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

Facebook 曝至今最严重安全漏洞,超过 5000 万用户受影响

  • 2018-10-15
  • 本文字数:1660 字

    阅读完需:约 5 分钟

9 月 28 日,Facebook 披露了一个安全漏洞,5000 万 Facebook 用户受到影响,恶意第三方可能会利用这个漏洞访问受影响的用户帐户。Facebook 已确认创始人马克扎克伯格及首席运营官谢丽尔桑德伯格是受影响的 5000 万账户之一。

这次的安全漏洞是 Facebook 自 2004 年创建以来出现的最大的安全问题,并且特别严重。Facebook 的产品管理副总裁 Guy Rosen 解释说,攻击者利用了与 Facebook 的“View As”功能相关的漏洞,这个漏洞允许攻击者窃取 Facebook 访问令牌,然后可以使用这些令牌来接管用户的帐户。

访问令牌是第一次登录后授予用户的一组代码,虽然不是密码,但是利用访问令牌无需密码也可以登陆账户。拥有访问令牌后,攻击者可以完全控制受害者的帐户,包括登录使用 Facebook 登录的第三方应用程序,包括 Instagram。

Facebook 的“View As"功能允许用户通过隐私设置将自己的个人资料设置成对不同的人显示得不一样,可以明确自己的朋友,朋友的朋友或公众可以查看哪些信息。

该安全漏洞是由 Facebook 工程师周二发现的。周五 Facebook 表示他们已经修复了这个漏洞。发现此漏洞后,Facebook 修复并重置了确认受影响的 5000 万帐户的安全令牌。为了安全起见,还为另外 4000 万可能受影响的帐户重置了安全令牌。最后,Facebook 关闭了“View As”功能。

“大约 9000 万人现在必须重新登录 Facebook 或任何使用 Facebook 登录的应用程序。在重新登录后,用户将在新闻 Feed 的顶部收到通知,了解发生了什么事情。”收到重新登录弹窗的用户无需更改密码,但是,无法重新登录 Facebook 的人 - 比如说忘记了密码 - 应该访问 Facebook 帮助中心。如果想退出 Facebook,可以访问设置中的“安全和登录”,其中列出了用户登录 Facebook 的地方,只需点击一下即可退出。

Guy Rosen 在博客中表示,Facebook 的调查仍处于早期阶段,还没有看到任何帐户遭到入侵和访问不当。但扎克伯格表示,攻击者使用 Facebook 开发人员 API 可以获取一些信息,例如“姓名,性别和家乡”,这些信息与用户的个人资料页面相关联。

另外,Facebook 表示私人消息不太可能被访问,也没有信用卡信息被泄露。

Facebook 不会说这 5000 万用户分布在哪里,但已经通知了 Facebook 的欧洲子公司所在的爱尔兰数据监管机构。扎克伯格并未透露出这次网络攻击以及用户流失的严重程度。“我们还不知道这些帐户是否被影响,但我们会继续研究这个问题,并会在我们了解更多信息后进行更新,”扎克伯格在周五发表的一篇博文中表示。“显然我们低估了我们的社区和服务所面临的攻击“。

据 Facebook 称,这次的漏洞源于他们在 2017 年 7 月对其视频上传功能所做的改变,Facebook 无意中在其视频上传器中引入了三个漏洞。但 Facebook 直到本月,即 2018 年 9 月 16 日发现异常活动激增时才知道这个漏洞。这意味着黑客可以长时间访问用户数据,因为 Facebook 目前还不确定攻击何时开始。正如 Rosen 所说,Facebook 的工程团队“仅在 9 月 25 日星期二下午才发现了这一最新的安全漏洞”。

Facebook 目前月活用户超过 20 亿,在此安全问题披露以后股价下跌超过 3% 。

“我们很抱歉。”Facebook 对于这次的安全问题向用户表示道歉。Facebook 的道歉年份始于今年 3 月份,当时 Facebook 被曝出将 9000 万用户的私人数据(包括他们的个人信息)泄露给政治研究公司剑桥分析(Cambridge Analytica)。自此,Facebook 接连曝出丑闻,包括多次侵犯隐私和政治动机的审查指控。

有评论称社交的黑暗时代已经到来,Facebook 在 2018 年负面新闻缠身,已出现用户的信任危机,这与优步在 2017 年的表现一样糟糕,甚至更糟。社交媒体公司现在面临越来越多的批评,包括外国选举干扰,错误信息的流动,仇恨言论和数据隐私等问题。

参考链接:

https://www.iafrikan.com/2018/09/28/facebook-reveals-latest-security-flaw-which-affects-50-million-users/

https://www.bbc.com/news/technology-45686890

https://www.rt.com/usa/439861-facebook-admits-security-breach-affected/

https://www.cnet.com/news/facebook-breach-affected-50-million-people/

2018-10-15 10:501346
用户头像
张婵 InfoQ 技术编辑

发布了 87 篇内容, 共 53.0 次阅读, 收获喜欢 218 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

2024 中国开发者调查报告出炉:通义灵码是开发者最常用的 AI 编码辅助工具

阿里云云效

阿里云 云原生 通义灵码

EZ先享官奔赴海外 见证马自达百年造车基因传承

Geek_2d6073

科大讯飞学习机c10s和p30怎么选

妙龙

科大讯飞 学习机

静态IP和动态IP哪个好?怎么选择?

Ogcloud

IP 静态IP 动态IP 海外原生IP 海外IP

Mac专用解压缩软件Keka for Mac

Mac相关知识分享

压缩软件

三维构建软件Rhino 8 for Mac 中文激活版

Mac相关知识分享

三维 Mac软件 软件下载

团队协作的秘密武器:2024年顶级7款工具

爱吃小舅的鱼

团队协作工具

IM即时通讯系统开发规则详细/案例设计/功能需求/源码步骤

V\TG【ch3nguang】

【AI 生图赢奖】用函数计算绘出「少年江湖」,与热播网剧梦幻联动

阿里巴巴云原生

阿里云 云原生 通义灵码

实用的英语学习工具Eudic欧路词典 for Mac激活版

Mac相关知识分享

Mac软件 英语学习工具

强大的工具箱软件Parallels Toolbox for mac激活版

Mac相关知识分享

DBeaver 24.1.4版本发布,原生支持GaussDB!

华为云开发者联盟

数据库 企业号 8 月 PK 榜 企业号2024年8月PK榜

业务流程的数字化转型:观测云的实践与挑战

可观测技术

业务监控

水底下的云

脑极体

云计算

五大联赛在即,能否用贝叶斯来预测足球比赛

Geek_a17c4b

AI 数据集 足球 贝叶斯算法

企业跨国组网如何搭建?试试SD-WAN!

Ogcloud

SD-WAN 企业组网 SD-WAN组网 跨国组网

百万级超长序列大模型训练如何加速,硬核解读MindSpeed方案

华为云开发者联盟

大模型 #人工智能 企业号 8 月 PK 榜 企业号2024年8月PK榜

3D 粒子系统插件Trapcode Particular for Mac激活版

Mac相关知识分享

2024 中国开发者调查报告出炉:通义灵码是开发者最常用的 AI 编码辅助工具

阿里巴巴云原生

阿里云 云原生 通义灵码

云原生监控的未来:观测云与 Prometheus 的融合

可观测技术

Promethues 云原生监控

蜗牛游戏宣布2024年第二季度财报业绩

财见

智源研究院举办第一期数据与行业应用Workshop

智源研究院

浅谈swap去中心化交易所系统开发搭建技术方案

V\TG【ch3nguang】

去中心化交易所

精选:适合小团队的8款协作工具推荐

爱吃小舅的鱼

团队协作 团队协作工具

通义灵码:AI 研发趋势与效果提升实践丨SDCon 全球软件技术大会演讲全文整理

阿里云云效

阿里云 云原生 通义灵码

跨部门协作:观测云在促进业务与技术团队合作中的作用

可观测技术

团队协作

1688商品详情API返回值中的供应商信息

技术冰糖葫芦

API Explorer API 接口 API 测试 API】

现货量化合约跟单丨量化合约现货跟单系统开发策略详细/源码案例

V\TG【ch3nguang】

量化合约现货跟单

斥巨资给自己买了个礼物,程序员专用显示器真香

王中阳Go

显示器 #程序员

技术架构革新:观测云的 Agent 模型解析

可观测技术

架构设计 数据采集

观测云的自动化监控:CRD 资源与自动发现

可观测技术

自动化运维

Facebook曝至今最严重安全漏洞,超过5000万用户受影响_Meta_张婵_InfoQ精选文章