我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问令牌 >

脸书又出隐私事故又被黑客涮了 这次安全漏洞严重吗

归档日期:04-13       文本归类:访问令牌      文章编辑:爱尚语录

  在被外国黑客入侵干预前年大选、前两天公司多名高管反水离职之后,这周还没过完,Facebook 就迎来了更大的危机。

  该公司产品管理副总裁盖罗森 (Guy Rosen) 撰文称:有黑客利用公司的代码漏洞,破解了用户登录系统,多达5000万用户的账户可能被波及。

  FB 技术团队在本周二下午发现了这个漏洞,并且已经通知美国执法部门。目前基本确定,已经有黑客利用这个漏洞发动攻击,

  他们目前不知道发动攻击的黑客的身份,也不确定有多少用户的信息真的遭到泄露。

  好在,1)被波及的用户信息不包括密码,所以用户不需要重置;2)发现之后,FB 已经填上了这个漏洞

  由于 FB 的隐私设置极为繁琐,用户经常不知道别人看得见、看不见自己发布的某些信息。View As 这个功能可以让用户以第三人称观看自己的账户,确认隐私设置是否符合自己要求。

  FB 透露,利用这个漏洞黑客窃取了用户的“访问令牌”(access token)。

  访问令牌的作用是为用户保存密码,这样用户就不用每次登陆都输一次密码验证身份。

  取得令牌后,黑客可以黑进别人的账户,看到设置为不对外公开的帖文和信息。

  作为应对,FB 对受到漏洞影响的5000万用户以及可能成为进一步攻击目标的另外4000万用户,进行了访问令牌重设。

  这意味着,将近1亿人今天登陆时将不得不重新输入邮件/电话和密码。

  初步调查显示,去年 FB 上线了一个改动,调整了用户上传视频的技术细节而这个改动的代码在 View As 功能里留下了漏洞。

  这并不是一个活跃度很高的功能,然而 FB 发现最近调用它的请求暴增,安全团队产生怀疑,才找到了漏洞。而且 FB 方面表示这个漏洞很难发现。

  “这次漏洞并不是密码泄漏那种问题,即使有人提前发现,要利用漏洞也是要一个账号一个账号的攻击,”知名网络安全公司Palo Alto Networks 联合创始人、现滴滴美国研究院负责人弓峰敏博士告诉硅星人。

  Facebook 是全球最大的社交平台,有22亿的用户。在创立至今的15年里,这家公司也较少发生黑客攻击导致信息泄漏的事件。严格来讲,较大规模和影响恶劣的黑客事件,仅发生过一两次。

  2013年,某个程序员自己搞砸了代码,代码核验也未发现,导致超过600万用户的联系资料泄露。

  大约在2014、15年,数据分析公司 Cambridge Analytica 滥用 FB 的开发者平台,对超过8700万用户进行非法的数据挖掘,出售给部分美国本土竞选的参选团队,用于干预大选,FB 的高层官员明知此事却没有任何作为。

  今年年初,扎克伯格曾因这一丑闻出席国会听证会。FB 被迫接受调查,股价在当时一度蒸发数百亿美元。

  遗憾的是,同情它的人越来越少了。这次 FB 公告发出后,网上一片骂声,基本意思就是:

  “费那么大劲研究如何挖掘我们的数据赚钱,怎么就不能多研究研究你们的漏洞。”

  在事件发生后,美国主流媒体的报道中不约而同地引用了扎克伯格之前听证会上的宣誓:

  “我们有责任保护你们的数据,如果我们没法做到,那么我们也不配给你们提供服务。”

本文链接:http://shawntierney.com/fangwenlingpai/68.html