Facebook曝至今最严重安全漏洞，超5000万用户受影响

编辑 | 张婵

Facebook14 年来最严重的安全问题，扎克伯格自己也在这5000万用户之中

9 月 28 日，Facebook 披露了一个安全漏洞，5000 万 Facebook 用户受到影响，恶意第三方可能会利用这个漏洞访问受影响的用户帐户。Facebook 已确认创始人马克扎克伯格及首席运营官谢丽尔桑德伯格是受影响的 5000 万账户之一。

发生了什么

这次的安全漏洞是 Facebook 自 2004 年创建以来出现的最大的安全问题，并且特别严重。Facebook 的产品管理副总裁 Guy Rosen 解释说，攻击者利用了与 Facebook 的“View As”功能相关的漏洞，这个漏洞允许攻击者窃取 Facebook 访问令牌，然后可以使用这些令牌来接管用户的帐户。

访问令牌是第一次登录后授予用户的一组代码，虽然不是密码，但是利用访问令牌无需密码也可以登陆账户。拥有访问令牌后，攻击者可以完全控制受害者的帐户，包括登录使用 Facebook 登录的第三方应用程序，包括 Instagram。

Facebook 的“View As"功能允许用户通过隐私设置，将自己的个人资料设置成对不同的人显示特定的信息，即自己的朋友，朋友的朋友或公众可以查看到哪部分个人信息是可以通过该功能设置的。

该安全漏洞是由 Facebook 工程师周二发现的。周五 Facebook 表示他们已经修复了这个漏洞。发现此漏洞后，Facebook 修复并重置了确认受影响的 5000 万帐户的安全令牌。为了安全起见，还为另外 4000 万可能受影响的帐户重置了安全令牌。最后，Facebook 关闭了“View As”功能。

“大约 9000 万人现在必须重新登录 Facebook 或任何使用 Facebook 登录的应用程序。在重新登录后，用户将在新闻 Feed 的顶部收到通知，了解发生了什么事情。”收到重新登录弹窗的用户无需更改密码，但是，无法重新登录 Facebook 的人 - 比如说忘记了密码 - 应该访问 Facebook 帮助中心。如果想退出 Facebook，可以访问设置中的“安全和登录”，其中列出了用户登录 Facebook 的地方，只需点击一下即可退出。

泄漏了什么信息

Guy Rosen 在博客中表示，Facebook 的调查仍处于早期阶段，还没有看到任何帐户遭到入侵和访问不当。但扎克伯格表示，攻击者使用 Facebook 开发人员 API 可以获取一些信息，例如“姓名，性别和家乡”，这些信息与用户的个人资料页面相关联。

另外，Facebook 表示私人消息不太可能被访问，也没有信用卡信息被泄露。

为何会发生这次事件

Facebook 不会说这 5000 万用户分布在哪里，但已经通知了 Facebook 的欧洲子公司所在的爱尔兰数据监管机构。扎克伯格并未透露出这次网络攻击以及用户流失的严重程度。“我们还不知道这些帐户是否被影响，但我们会继续研究这个问题，并会在我们了解更多信息后进行更新，”扎克伯格在周五发表的一篇博文中表示。“显然我们低估了我们的社区和服务所面临的攻击“。

据 Facebook 称，这次的漏洞源于他们在 2017 年 7 月对其视频上传功能所做的改变。当时Facebook 无意中在其视频上传器中引入了三个漏洞，但 Facebook 直到本月，即 2018 年 9 月 16 日发现异常活动激增时才知道这个漏洞。这意味着黑客可以长时间访问用户数据，因为 Facebook 目前还不确定攻击何时开始。正如 Rosen 所说，Facebook 的工程团队“仅在 9 月 25 日星期二下午才发现了这一最新的安全漏洞”。

Facebook 目前月活用户超过 20 亿，在此安全问题披露以后股价下跌超过 3％ 。

“我们很抱歉。”Facebook 对于这次的安全问题向用户表示道歉。Facebook 的道歉年份始于今年 3 月份，当时 Facebook 被曝出将 9000 万用户的私人数据（包括他们的个人信息）泄露给政治研究公司剑桥分析（Cambridge Analytica）。自此，Facebook 接连曝出丑闻，包括多次侵犯隐私和政治动机的审查指控。

有评论称社交的黑暗时代已经到来，Facebook 在 2018 年负面新闻缠身，已出现用户的信任危机，这与优步在 2017 年的表现一样糟糕，甚至更糟。社交媒体公司现在面临越来越多的批评，包括外国选举干扰，错误信息的流动，仇恨言论和数据隐私等问题。

参考链接：

https://www.iafrikan.com/2018/09/28/facebook-reveals-latest-security-flaw-which-affects-50-million-users/

https://www.bbc.com/news/technology-45686890

https://www.rt.com/usa/439861-facebook-admits-security-breach-affected/

https://www.cnet.com/news/facebook-breach-affected-50-million-people/

---

活动推荐

微服务架构提倡将单一应用程序划分成一组小的服务，服务之间互相协调、互相配合，为用户提供最终价值。企业转型微服务，有哪些技术需要调整？业界有哪些最佳实践？大企业在实践微服务中如何成长？

InfoQ 主办的第四届 CNUTCon 全球运维技术大会，邀请了 Twitter、RIOT Games、BAT 等国内外一线专家，分享智能时代下运维的新趋势、新思路、新技术和实战经验，包括探讨微服务的应用场景、企业集成架构的演进以及微服务转型思路和技术决策考虑等内容。

目前，大会 8 折限时优惠，立减 720 元，团购更优惠！扫描下方二维码或点击阅读原文了解，有任何问题欢迎咨询 Joy 小同学，电话：13269078023（微信同号）。