我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问令牌 >

脸书发现可致5000万用户信息泄露的漏洞 相关报道曾被屏蔽

归档日期:04-13       文本归类:访问令牌      文章编辑:爱尚语录

  南都讯 记者蒋琳 当地时间9月28日,Facebook公布的一则安全更新称,有黑客利用Facebook的“查看为(View As)”功能漏洞盗用用户的访问令牌(无需输入密码即可登录账号),从而侵入他们的账号,可能有约5000万用户受到影响。目前,Facebook暂时停用了该功能,并重置了这些用户的访问令牌。

  据Facebook产品管理部副总裁Guy Rosen透露,9月25日下午,工程师团队检测到外部攻击,有黑客利用View As功能的漏洞获取用户的访问令牌。据了解,View As功能允许用户以他人的视角查看自己的个人资料,属于隐私功能的一种。

  “漏洞由三方面原因造成”,Facebook安全隐私部门的副工程师Pedro Canahuati指出,首先,作为“只读”功能,View As错误地给与了用户上传视频的权限;其次,在基于上一个原因得到的上传视频页面里,又会进一步错误地生成具有Facebook移动应用程序权限的访问令牌;最后,这个被错误生成的访问令牌不是查看者自己的,而是被查看用户的。

  也就是说,黑客可以利用漏洞提取另一个用户的访问令牌,然后以这个人的身份登录Facebook。只要稍加修改,就可以被用于大规模提取用户账号信息。

  Canahuati称,目前漏洞已经被修复,受影响的近5000万个账户的访问令牌也已经被重置。另外,Facebook还为去年内曾被人用View As功能查看过的4000万账户重置了访问令牌,防止他们受到这次黑客攻击的影响。此外,Facebook启动了全面的安全审核,并暂时关闭了View As功能。

  不过,Facebook对9000万用户重置并访问令牌并不涉及修改密码,用户只会在下次使用Facebook账号时被要求重新输入密码。登录成功后,他们还会在信息流中看到关于此次事件的通知。

  Facebook创始人Mark Zuckerberg在与记者的电话会议中表示,这是一次极其严重的安全事件。“这说明总有人想从我们的社区里获取账号和盗窃信息,我们将为此付出长期持续的努力”,他说。

  “由于调查才刚刚开始,我们尚未确定这些账号信息是否被滥用或被访问,也不知道攻击者是谁、在哪。”不过,Rosen同时表示,Facebook非常重视这次事件,他们希望“让每个人都知道发生了什么”,以及Facebook为此采取的行动。据悉,Facebook已经将此次事件上报给了FBI和爱尔兰数据保护委员会。

  事实上,这符合欧盟《一般数据保护条例》(GDPR)关于“发生数据泄露事件后,企业必须在72小时内通知用户”的相关规定。有专家认为,正是GDPR的强制规定迫使Facebook在尚未了解事件全貌的情况下,并非完全出于自愿地公布了此次事件。

  据美国科技新闻媒体TechCrunch报道,Facebook曾在平台内屏蔽The Guardian和美联社关于此次黑客攻击事件的报道,并承认“这样做是个错误”。在随后发表的生命中,Facebook表示,“我们一发现此次事件就及时补救了,人们理应拥有分享这些报道的权利……我们对屏蔽报道造成的不便向大家道歉。”

  据TechCrunch分析,这并不是Facebook有意为之,而是Facebook的内容自动检测工具检测出“很多人在传播同一条链接”,从而做出把这两篇报道认定为垃圾链接的决定。

  据了解,Facebook的股价在发表上述声明之前就已经下跌1.5%,最后以当日下跌2.6%收盘。

本文链接:http://shawntierney.com/fangwenlingpai/70.html