Facebook 又被黑客涮了，這次又坑了快一億用戶！

Facebook 就像一輛失控的過山車，正在加速墜入深淵。

在被外國黑客入侵干預前年大選、前兩天公司多名高管反水離職之后，這周還沒過完，Facebook 就迎來了更大的危機。

該公司產品管理副總裁蓋·羅森 (Guy Rosen) 撰文稱：有黑客利用公司的代碼漏洞，破解了用戶登錄系統，多達5000萬用戶的賬戶可能被波及。

仿佛今年 Cambridge Analytica 數據泄露丑聞還沒涼透，Facebook 就又被黑客涮了。

FB 技術團隊在本周二下午發現了這個漏洞，并且已經通知美國執法部門。目前基本確定，已經有黑客利用這個漏洞發動攻擊，

他們目前不知道發動攻擊的黑客的身份，也不確定有多少用戶的信息真的遭到泄露。

好在，1)被波及的用戶信息不包括密碼，所以用戶不需要重置;2)發現之后，FB 已經填上了這個漏洞

這個安全漏洞存在于 Facebook 的“View As”功能的代碼中。

由于 FB 的隱私設置極為繁瑣，用戶經常不知道別人看得見、看不見自己發布的某些信息。View As 這個功能可以讓用戶以第三人稱觀看自己的賬戶，確認隱私設置是否符合自己要求。

FB 透露，利用這個漏洞黑客竊取了用戶的“訪問令牌”(access token)。

訪問令牌的作用是為用戶保存密碼，這樣用戶就不用每次登陸都輸一次密碼驗證身份。

取得令牌后，黑客可以黑進別人的賬戶，看到設置為不對外公開的帖文和信息。

作為應對，FB 對受到漏洞影響的5000萬用戶以及可能成為進一步攻擊目標的另外4000萬用戶，進行了訪問令牌重設。

這意味著，將近1億人今天登陸時將不得不重新輸入郵件/電話和密碼。

同時，Facebook 已經暫時關閉了“View As”功能。

初步調查顯示，去年 FB 上線了一個改動，調整了用戶上傳視頻的技術細節而這個改動的代碼在 View As 功能里留下了漏洞。

這并不是一個活躍度很高的功能，然而 FB 發現最近調用它的請求暴增，安全團隊產生懷疑，才找到了漏洞。而且 FB 方面表示這個漏洞很難發現。

“這次漏洞并不是密碼泄漏那種問題，即使有人提前發現，要利用漏洞也是要一個賬號一個賬號的攻擊，”知名網絡安全公司Palo Alto Networks 聯合創始人、現滴滴美國研究院負責人弓峰敏博士告訴硅星人。

他認為，這次的漏洞并不是十分嚴重。

Facebook 是全球最大的社交平臺，有22億的用戶。在創立至今的15年里，這家公司也較少發生黑客攻擊導致信息泄漏的事件。嚴格來講，較大規模和影響惡劣的黑客事件，僅發生過一兩次。

2013年，某個程序員自己搞砸了代碼，代碼核驗也未發現，導致超過600萬用戶的聯系資料泄露。

大約在2014、15年，數據分析公司 Cambridge Analytica 濫用 FB 的開發者平臺，對超過8700萬用戶進行非法的數據挖掘，出售給部分美國本土競選的參選團隊，用于干預大選，FB 的高層官員明知此事卻沒有任何作為。

今年年初，扎克伯格曾因這一丑聞出席國會聽證會。FB 被迫接受調查，股價在當時一度蒸發數百億美元。

如今調查仍未結束，FB 還沒從 Cambridge Analytica 丑聞緩過勁來，就又發生了黑客入侵。

當然，嚴格來講，FB 也是受害者。

遺憾的是，同情它的人越來越少了。這次 FB 公告發出后，網上一片罵聲，基本意思就是： “費那么大勁研究如何挖掘我們的數據賺錢，怎么就不能多研究研究你們的漏洞。”

在事件發生后，美國主流媒體的報道中不約而同地引用了扎克伯格之前聽證會上的宣誓： “我們有責任保護你們的數據，如果我們沒法做到，那么我們也不配給你們提供服務。”

言下之意似乎在質問扎克伯格：你是否說話算話呢?【責任編輯/江小白】

(原標題：Facebook 又被黑客涮了，這次又坑了快一億用戶!)

來源：Pingwest

IT時代網(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創文章版權所有，未經授權，轉載必究。
創客100創投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。

相關文章

不再允許向美國傳輸歐盟用戶數據，臉書可能會退出歐洲市場

【特別報道】Facebook到底抄襲過多少應用？

字節跳動稱被Facebook抄襲和抹黑，將積極利用法律維護合法利益

【怪事】Facebook發布公開聲明批判中國