Facebook周五证实了一个重大的安全漏洞,影响了近5000万用户,黑客利用Facebook的漏洞窃取了与用户个人资料相关的安全令牌,导致用户账户遭到了破坏。
Facebook的股价当天下跌2.6%。
漏洞出现在Facebook的“View As”功能中,该功能可以让账户持有人查看其个人资料在其他用户界面上的展示。攻击者可以利用该漏洞窃取Facebook的访问令牌,这些令牌可以用来接管账号。令牌充当“数字密钥”让用户保持登录,这样他们就不必在每次使用应用程序时都输入密码。
Facebook已经修复了此漏洞,并提醒执法人员注意该漏洞,并在调查期间暂时禁用了“View As”功能。
虽然调查仍在进行中,但Facebook已经确认此次攻击源于它在2017年7月对视频上传功能所做的更改,影响了“View As”功能。攻击者找到了这个bug,用它来窃取访问令牌,然后从目标帐户转到其他帐户,以便窃取更多的令牌。
Facebook产品管理副总裁Guy Rosen表示,Facebook重置了5000万受影响帐户的安全令牌,以及在过去一年中使用“View As”功能查看的4000万个其他帐户。
总的来说,Facebook的20亿用户中,大约有9000万用户需要重新登录他们的帐户以及通过Facebook登录访问的任何应用程序。当他们重新登录时,他们会看到一个通知在他们News Feed的顶部解释发生了什么。
Rosen表示,如果Facebook发现更多受影响的账号,它将立即重置访问令牌。对于采取预防措施提前退出Facebook的用户,Facebook的安全和登录部分可以让用户查看他们登录的位置,并允许一次退出所有设备。
Facebook表示调查还处于起步阶段,攻击者是谁以及他们的意图仍然是未知数。一些业内专家开始关注Facebook为什么不能及早发现漏洞。
“Facebook如此受欢迎,但令我感到惊讶的是,无论是外部的测试人员还是Facebook的内部IT安全团队,过去从未发现黑客并报告过这个漏洞,”Comparitech的隐私权倡导者Paul Bischoff说。 “我很想知道这个漏洞在被发现和利用之前存在了多长时间。”
