每日最新頭條.有趣資訊

Facebook遭黑客攻擊,5千萬用戶數據面臨風險

大數據文摘作品

編譯:魏子敏、驚蟄、CoolBoy

Facebook再次因數據泄露問題被推上風口浪尖,這一次是因為黑客攻擊。

“這是個非常嚴重的安全問題。”祖克柏如此描述本周五Facebook在影片上傳功能上遭受到的的攻擊。並透露,至少5千萬用戶的隱私數據因此受到威脅。

Facebook股價應聲下跌。

就在剛剛,Facebook發表聲明,該公司網絡被黑客攻擊,大約5000萬用戶的隱私數據有泄露風險。

Facebook表示,他們在本周發現了這一數據泄漏。攻擊者利用代碼中的某一功能(見後文)得到了用戶的账號資訊。周五早些時候,Facebook采取常見的數據泄漏發生時的安全措施,超過9000萬用戶被強製要求退出登錄狀態。

與此同時,Facebook表示該安全漏洞已被修複,並已報告執法人員。然而,Facebook說他們目前還不清楚攻擊者的身份,也不清楚攻擊的具體範圍,相關調查剛剛起步。

Facebook的CEO馬克·祖克柏在和記者的電話會議中說,“我們在很嚴肅地處理這件事情。我很慶幸我們發現了漏洞,但首先這是個非常嚴重的事件。”

前文中所提到的,被攻擊者利用的功能叫做“檢視角度”(View As),通過這一功能,用戶可以從其他人的角度閱覽自己的檔案。這一功能的本意是為用戶提供更完善的隱私管理。

Facebook表示,Facebook於2017年7月推出的影片上傳功能存在缺陷。該漏洞允許攻擊者獲取“訪問token(access tokens)”,也就是允許訪問帳戶的數字密鑰。

攻擊何時發生的尚不可知,但據了解是在影片上傳項目開始後。

據美國媒體cnet報導,本次的攻擊者通過一系列步驟侵入,並為數百萬Facebook用戶創建訪問令牌。他們首先查看那些可以使用另一個用戶訪問的Facebook個人資料。

此時,用戶的Facebook账戶有時會出現發布生日影片的入口。據Facebook稱,這一功能偶爾會有一個bug出現,讓黑客能夠針對目標用戶生成訪問令牌,使他們能夠訪問用戶的帳戶資訊。

使用訪問令牌,黑客可以控制用戶的帳戶。然後他們可以進行下一個,並重複該過程並為該用戶生成訪問令牌。

此次襲擊事件發生之前,Facebook已經面臨著巨大的輿論壓力。在今年3月廣受詬病的“數據門“事件--劍橋分析公司醜聞”後,人們對於Facebook是否正確使用掌握的大量用戶數據持續質疑,該公司面臨聯邦監管。

Facebook面臨的主要挑戰之一,就是說服用戶這個公司可以負責任地處理大量數據。目前,每月有超過20億人使用Facebook和該公司的即時通訊工具WhatsApp以及Instagram。

“我們有責任保護您的數據,如果我們不能,那麽我們就不值得為您服務,”祖克柏先生今年在一份關於Cambridge Analytica的聲明中表示。

甚至在周五的披露之前,Facebook已經陷入了對其數據共享和隱私實踐的多次聯邦調查。美國證券交易委員會已開始調查該公司有關Cambridge Analytica事件的陳述。

Facebook堅稱它已經與第三方制定了嚴格的數據共享政策,並縮減了能與開發商分享的數據量。在審計和Facebook相關的數千個外部應用程式後,該公司暫停了對400多個第三方應用程式的訪問權限。

在周五的電話會議上,Facebook產品管理副總裁蓋伊·羅森(Guy Rosen)拒絕透露攻擊者來自哪個國家。他說這次襲擊是“複雜的”,並且在Facebook的代碼中利用了三個獨立錯誤。

黑客還試圖從Facebook的系統中收集人們的私人資訊,包括姓名,性別和家鄉。

Facebook前首席安全官亞歷克斯?斯塔莫斯(Alex Stamos)8月離開了Facebook去斯坦福大學任教,之後Facebook一直在改組安全團隊。他們希望安全團隊的成員不只是作為獨立單元存在,而可以和整個公司的產品團隊更緊密地合作。該公司表示,此舉旨在將安全性融入Facebook產品開發的每一步。

國會議員立即抓住最新的違規行為批評Facebook。

“這是另一個令人警醒的跡象,國會需要采取行動保護社交媒體用戶的隱私和安全,”來自弗吉尼亞州的民主黨參議員馬克華納(Mark Warner)在Facebook 上發表了這樣的聲明,“Facebook應該迅速地進行全面調查並公布相關資訊,只有這樣我們才能弄清楚到底發生了什麽。”值得一提的是,這位參議員是Facebook 最有爭議的批評者之一。

事件發生後,Mark Zuckerberg和Facebook官方也第一時間在FB發布了貼文來解釋本次事件的緣由以及Facebook正在進行的相關措施,以下是部分內容:

我們昨晚修補了這個問題,並正在采取預防性措施控制影響範圍。我們還在調查,下面是我們已經發現的內容:

本周二(9月25日),我們發現攻擊者利用技術漏洞竊取訪問令牌,這將允許他們登錄Facebook上大約5000萬人的帳戶。

我們還不知道這些帳戶是否被濫用,但我們會繼續研究這個問題,並會在我們有所發現時向大家分享更多資訊。

為了解決這個問題,我們已經采取了下面這些的措施:

1.我們修補了代碼安全漏洞,以防止此攻擊者或者其他任何人竊取額外的訪問令牌。我們使5000萬受影響人員的账戶訪問令牌無效—導致他們被注銷。這些人必須重新登錄才能再次訪問其帳戶。我們還會在他們的新聞Feed上通過消息通知這些人他們重新登錄時發生的事情。

2.作為一項預防措施,我們暫時取消了和安全漏洞相關的功能,直到我們能夠對其進行全面調查並確保其中沒有其他安全問題為止,儘管我們認為已經解決了這個問題。該功能稱為“檢視角度”,它是一個隱私工具,可讓您了解自己的個人資料在其他人看來是怎樣的。

3.作為一項額外的預防措施,我們還會強製讓漏洞出現之後所有使用過相關功能的用戶登出Facebook。這將影響到另外4000多萬人,這些用戶需要重新登錄。目前,沒有任何證據表明這些帳戶資訊已被泄露,但我們仍會采取這樣的預防措施。

參考資料:

https://www.nytimes.com/2018/09/28/technology/facebook-hack-data-breach.html

https://www.cnet.com/news/facebook-breach-affected-50-million-people/

https://newsroom.fb.com/news/2018/09/security-update/

【今日機器學習概念】

Have a Great Definition

志願者介紹

回復“志願者”加入我們

獲得更多的PTT最新消息
按讚加入粉絲團