小扎不哭！FB又陷数据泄露风波，9000万用户受影响

对小扎来说，又是多灾多难的一个月。

继不久前Twitter曝出修补了一个可能造成数以百万计用户私密消息被共享给第三方开发人员的漏洞，连累Facebook股价跟着短线跳水之后，9月28日，Facebook又双叒叕曝出因安全漏洞遭到黑客攻击，致近5000万用户信息泄露事件。消息传出后，Facebook股价又跌了，跌幅从1.5%, 扩大至3.05%。最终报收于164.46美元，下跌2.59%。

真是男默女泪。

到底是怎么一回事？

据说这个漏洞是个历史遗留问题。去年FB上线了一个改动并调整了用户上传视频的技术细节。不巧的是，这个改动的代码在“查看为（View As）功能里留下了漏洞。

这个功能本来活跃度并不高，但最近Facebook技术团队发现调用它的请求暴增，这才引起了安全团队的怀疑，并在本周二找到了这颗隐藏地雷。

Facebook 产品管理副总裁 Guy Rosen 特意写了一篇博客，Rosen 表示 Facebook View As功能的代码的确存在缺陷。

这个功能其实相当于开了第三人视角，毕竟FB内置的隐私设置太过复杂，说不准就打开了什么隐藏开关，良心玩家给了用户一根金手指，可以自己随时查看账户内容，就和你看别人视角是一样的。

但问题也就在这，利用这个漏洞黑客窃取了用户的“访问令牌”（access token），即无需重新输入密码就能保持登录服务的数字密码。

这个数字密码的功能就是帮用户保存密码，让懒癌患者不需要每次登录都输入一遍账户密码。有了这个令牌，黑客就可以直接得到接管用户账户的权限，在不知道密码的情况下登录相关的Facebook帐户，下载受害者的私人信息，照片和视频。

一位Facebook代表补充了更多细节，这个漏洞是三个bug交织在一起的复杂漏洞，第一个bug让一个本不该出现的视频上传功能冒了出来。第二个漏洞导致上传工具生成了访问token。第三个最关键，它让token到了其他人手里，跟实际访问者没什么关系。这就意味着第三方有机会直接访问用户账户！

厉害了，这就是传说中的令牌在此，速开城门？还不止能开一扇门，可能直接开了天窗。

话说这个事影响也不小，据小扎透露，周五早间约有5000万个Facebook账户受到攻击，黑客们试图查询其应用程序界面，存取路径，简介，信息（姓名，性别，家庭住址等），但说实话，他们也不知道个人信息是否通过这个被泄露了。

目前这些账户的访问权限已被重置，另外Facebook重置了额外4000万个账户，也就是9000万个账户需要重新输入一遍登陆名（邮件或电话）和密码。同时，Facebook 已经暂时关闭了“View As”功能。

对一一脸懵逼的用户来说也不用慌，这次被波及的用户信息不包括密码，所以用户不需要重置密码。

相比以前遮遮掩掩的态度，Facebook这次似乎有点正面刚的意思，虽然现在还不知道幕后黑客是谁，但主动联系了FBI准备揪出这些别有用心的黑客。

只不过有意思的是有用户发现了删帖屏蔽事件，比如你在Facebook上发帖谈论关于这个漏洞会被屏蔽，在Facebook上分享相关新闻时也会被阻止，总之，就甭想着在脸书谈这事了，就是不发文字，分享相关图片也会被识别出来……

这件事似乎成了Facebook的敏感之处，围观群众也在调侃，小扎很有口嫌体直之风，嘴上说不介意，行动却很诚实。

参考来源：theregister，TechCrunch

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 程序媛| 以图搜图 心脏滴血 | 撞库攻击 | 黑客猎人 刷票 | 人肉 | 炸群 | 内鬼 恶性病毒怼天怼地怼对手 真相篇 ▼ 这是一场针对高级知识分子的裸聊诈骗 打“农药”刷金币：我的队友原来是个机器人 黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人 iPhone充电器可以当监听器？我到某宝试了下 当俄罗斯黑客遇到老虎机 发家致富？ 一个自动挖掘工具，能找到比核武器更可怕的漏洞 “老婆，开门”，隔壁老王带来的恐惧 无人机越狱? 资深女黑客一怒“打飞机” 自从安了智能门锁，家里闹妖精？ 中国安全圈真实薪资曝光 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 世界上最坚固的门轰塌后，如何再建 这个黑客在体内植入9块芯片后…… 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注