来源: 时间:2022-09-17 17:35:02
Facebook周五声称已修复了一个安全漏洞,该漏洞可能使黑客登录了大约5000万个用户帐户。虽然Facebook重置了这5000万用户的登录,但作为预防措施,它对另一个4000万帐户也做了同样的事情。这起事件足以让Facebook首席执行官兼创始人马克·扎克伯格 (Mark Zuckerberg) 发布消息称,该社交网络仍在调查这起违规行为。他在Facebook帖子中说: “我们还不知道这些账户是否被滥用,但我们正在继续调查这一点,并在了解更多信息后会更新。”
在扎克伯格也参加的新闻发布会上,Facebook产品管理副总裁盖伊·罗森 (Guy Rosen) 表示,该漏洞是在2017年7月年Facebook创建新的视频上传功能时引入的。他说,Facebook在发现一些不寻常的情况 (例如用户激增) 后,于9月16日对该事件进行了调查。“在9月25日下午,我们发现了这个攻击,我们发现了这个漏洞,” 他说,并补充说,联邦调查局很快收到通知,该漏洞在9月27日晚上被修复,之后,它 “开始重置人们的访问令牌,以保护他们账户的安全。”这就是为什么人们必须重新登录到他们的Facebook帐户的原因。
另请阅读:您是否退出了Facebook?你是账户被攻破的5000万之一
罗森说,攻击者利用了Facebook代码中的一个漏洞,该漏洞影响了其 “查看” 功能,该功能使人们可以看到自己的个人资料对其他人的样子。这就是它是如何被利用的: “一旦攻击者有一个帐户的访问令牌,比方说 (爱丽丝的),他们就可以使用View As来查看另一个帐户,比方说 (鲍勃的) 可以看到 (爱丽丝的) 帐户。由于该漏洞,这使他们也可以获得 (Bob的) 帐户的访问令牌,依此类推。”
罗森说,该漏洞是由三个影响访问令牌的错误组合引起的,这就像一个 “数字密钥,让你登录Facebook,这样每次你打开应用程序,你就不需要重新输入密码”。这不是密码。
罗森解释说,第一个错误是 “当使用视图作为功能来查看您的个人资料时,就像另一个人一样,视频上传者实际上根本不应该出现”。但在某些情况下确实如此。其次,此视频上传器 “在功能上错误地使用了单点登录” 来生成具有Facebook移动应用程序权限的访问令牌。
最后,当视频上传器显示为 “视图” 的一部分时,它生成了一个访问令牌,它不应该这样做,“不是为了你作为观众,而是为了你正在查找的用户”。罗森说,攻击者发现了这种已经成为漏洞的组合。
当被问及为什么Facebook花了这么长时间才发现这个漏洞时,罗森说,为什么他们做代码审查和运行静态分析工具,“遗憾的是,它没有抓住导致这个漏洞的错误的复杂交互”。但是,他澄清说,此安全漏洞未使用任何密码。
安全公司Lucideus的首席执行官兼联合创始人Saket Modi解释说,即使您的Ip (甚至MAC地址) 更改,访问令牌也会保持恒定的会话。“在这种情况下,黑客能够窃取近5000万Facebook用户 (目标) 的这些令牌,这基本上意味着黑客可以欺骗Facebook服务器,让他们相信他们是目标账户的授权用户,这将使攻击者完全访问目标账户。” 他说。
“然而,我们不知道这个漏洞存在了多长时间,黑客是谁,以及可能造成的损害程度,这不仅是窃取一个人的个人资料数据 (剑桥分析公司就是这样),而且在这种情况下可能是个人信息,每张照片 (甚至是对朋友/公众隐藏的照片),在messenger上聊天,” 他补充说。
作为预防措施,Modi建议所有Facebook用户注销并重新登录他们在社交网络上活跃的所有小工具。
同时,Sophos首席研究科学家切斯特·维斯涅夫斯基 (Chester Wisniewski) 提醒说,像Facebook这样大而复杂的东西肯定会有错误。虽然他接受访问令牌被盗是一个问题,但他表示,这对用户隐私的风险并不像剑桥分析公司那样大。他也有自己的建议: “与任何社交媒体平台一样,用户应该假设他们的信息可能会通过黑客或仅仅是通过意外的过度分享而公开。这就是为什么永远不应该通过这些平台共享敏感信息的原因。目前,注销和重新登录是所有必要的。真正相关的人应该以此为提醒,并有机会审查他们在Facebook和与之共享个人信息的所有其他社交媒体平台上的所有安全和隐私设置。“
相关推荐
猜你喜欢
