Facebook5000万用户账号被黑客可控制

Facebook近日宣布，公司发现了一个安全漏洞，黑客可利用这个漏洞来获取信息，而且黑客可通过这些信息控制约5000万个用户账号。Facebook CEO马克·扎克伯格称,这是个非常严重的安全问题，我们正在非常认真地对待。”

Facebook确实受到了这一事件的影响，在消息暴露以前，Facebook股价已经下跌了1.5%左右，消息传出后进一步走低，到收盘时更是下跌2.59%到164.46美元，盘中一度触及162.56美元的低点。

Facebook官方发文称，公司的工程团队发现黑客在Facebook的View As”功能中找到了一个代码漏洞。公司之所以能发现这个漏洞，是因为公司在9月16日注意到用户活动量大增。

Facebook又现安全漏洞(图片来自ibtimes)

View As功能可让用户看到他们自己的个人资料在Facebook平台其他用户眼中是怎样的，而此次发现的漏洞包含了三个不同的bug，黑客可利用这个漏洞获取访问允许证，从而控制其他用户的账号。

近5000万个用户账号已被黑客获取访问允许证，但Facebook已对用户的账号访问通道进行了重置。在过去一年时间里，Facebook还对另外4000万个使用View As功能的用户账号的访问通道进行了重置，以此作为预防措施。在访问通道被重置后，用户需在登录时重新输入密码，此外还将在信息流中收到通知说明。另外，Facebook还将暂时关闭View As功能，将对其安全性进行审查。

Facebook称，用户没必要更改密码。如果有更多账号受到影响，Facebook将马上对其访问通道进行重置。扎克伯格表示,安全问题是场军备竞赛，我们正在继续改善自己的防御能力。”

APP商店搜索中关村在线，看2018年最新手机、笔记本评价排行

从Facebook 5000万用户信息泄漏事件看账号安全保护

近日，英国《观察家报》、《卫报》及美国《纽约时报》等外媒报道了Facebook5000万用户信息泄漏事件。这是Facebook自创建以来最大的用户数据泄露事件之一，Facebook市值随即跌了超过6%。

此次数据泄露的源头，是英国剑桥大学心理学教授科根在Facebook上推出的一款用户个性测试分析应用。Facebook用户参加这个测试可以获得现金奖励，因而吸引了270,000名用户参与参与。为了防止奖金被薅羊毛”，这款应用还设定了只有拥有185名以上好友的用户才能参与有偿调查。借助这一应用，科根教授获取了27万人及其所有好友的大量隐私信息，包括住址、性别、种族、年龄、工作经历、教育背景、人际关系网络、平时参加何种活动、发表了什么帖子、阅读了什么帖子、对什么帖子点过赞等。据外媒分析，科根教授获取的这些用户数据很可能已被用于政治用途，因此引起了非常广泛的关注。

过去几年，同类的安全事件在国内也时有发生，互联网企业在账号安全方面普遍面临如下的安全风险：

●黑客针对特定系统进行暴力破解或撞库攻击获取大量用户的账户密码，登录后爬取用户敏感数据；

●黑客通过钓鱼攻击、社工营销等手段骗取大量用户的账户密码，登录后爬取用户敏感数据；

●平台系统或者APP的敏感接口存在鉴权漏洞或其他漏洞，缺乏必要的安全保护，被黑客发现并大量拉取用户敏感数据；

可以说垃圾注册、撞库攻击、身份盗用是互联网账号安全方面三大毒瘤，基于此同盾搭建了一套完善的账户体系反欺诈解决方案，提供从客户端到平台服务端的全链路防护，能够有效保障平台的用户敏感信息安全。

同盾账户体系反欺诈解决方案由风险发生段和风险应对段，两个环节组成。从风险发生段入手，收集虚假用户信息、拖库、分析平台漏洞，通过决策引擎、设备指纹结合领先的技术和模型，反馈出风险类型。

进入到风险应对环节，同盾通过黑产情报监控，能够快速发现已发生的拖库”事件，在撞库攻击发生前对客户进行预警，协助客户做好事前防控工作。同时借助强大的底层安全技术有效拦截暴力破解、撞库攻击和爬虫爬取敏感信息的行为，确保所有发送到接口的请求都是正常用户的操作。

同时，同盾还为客户提供APP、重要API接口安全审计服务，发现并协助客户修复各类高危漏洞，实现安全闭环，斩断黑客利用漏洞窃取账号的攻击途径。

事实上，很多时候黑产都呈现出全网流窜的形态，欺诈行为也渗透到各个环节，账号安全有时候并不是独立存在的单一风险，与其他事件都有千丝万缕的联系。

诸如营销活动、交易支付、内容安全、接口安全、渠道推广等领域，黑产也都广泛存在，在与黑产长期的斗争过程中，同盾不仅积累强大的技术能力，也沉淀下规模庞大的黑名单数据库，对黑产形成有力的震慑和围剿作用。

同盾科技作为智能风险管理引领者，将不断创新产品与技术，为客户提供更多更有效更智能的服务，共同保护互联网生态安全。

史上最大规模黑客攻击打开Facebook 5000万个账户大门，怎么办？

Facebook

导语：如果时光倒流10年，Facebook的马克扎克伯格首次推出了方便账户登录的工具，能够极其便利的将其他网站和应用与Facebook的密码迅速关联。不知道他能否预想到10年后的今天，这种便利带来了如此大的风险。

一、案情综述：

在2018年9月25日星期二下午这一历史性时刻，Facebook工程团队里一名不知姓名的工程师在电脑前，惊悚地发现了一个影响近5000万个帐户的安全问题。

Facebook

随后的一幕是， Facebook官网如此宣布：Facebook已确信遭到大规模网络攻击，黑客窃取了登录代码，使其能够访问近5000万个Facebook账户，这些账户可能遭遇入侵、甚至盗用。调查仍处于早期阶段，过程是：攻击者利用Facebook代码中的一个漏洞影响了一个常用功能—— 查看（View As）”，结果让黑客可以像查看自己个人资料一样，去查看其他人信息。

媒体做出如下报道：数据泄露丑闻之后，Facebook又一次刷新历史记录，被黑客攻击，史上最大安全事故在公司成立14年后爆发。

这些都是基于想象的故事，但是即便细节不是如此，事实却已成真，潜在影响还无法预估。

Facebook

隐私信息可能是用户不想也不便于公开的，比如女性用户的年龄、恋爱状态等宇宙级别的秘密。这是一句玩笑。这些都是最简单的隐私问题，还有更深层次的问题还在调查之中，这次盗窃的成果是黑客窃取了Facebook访问授权，也就是说，黑客接管了被盗取的账户，并且每次登陆都畅通无阻，每次使用应用程序时都无需重新输入密码。这真是后门大开，无比方便。平时玩游戏、登录许多网站，手机应用软件的时候。为了不用注册，许多人屡屡图方便，直接用Facebook授权登录，现在麻烦来了。更糟糕的是，现在麻烦还在进一步调查之中。

二、报案吧，被害人也得按照监管要求披露信息

由于遵守了欧盟史上最严格的《一般数据保护条例规则》，要求被盗数据的公司公司在发现后72小时内进行披露，否则将面临严厉的处罚。

《一般数据保护条例规则》

这个规定也带来了强势监管的负面结果，

第一、监管虽然严格，但是72小时实在紧迫，安全专家说这并没有给调查人员足够的时间来确定违规行为的影响。所以在官方宣布缺席的情况下，众人都对实际影响感到困惑，社交网络上谣言四起。

第二、时间太紧迫，有可能导致报告信息的不准确，受影响的各方面很难有的放矢的准备，当然如果不遵守这个规定，结果也很简单，全球营业额4%的罚款。所以，这次事件在短期内的情况应该是——仍在调查中，破坏程度还在描述之中。由于使用Facebook密码登录其他应用和网站非常方便，一经推出就大受欢迎。该工具被数以千计的其他公司采用，从Airbnb到Uber等知名高科技公司。现在， Facebook计算机系统受到攻击，则会城门失火殃及池鱼。

Facebook

Facebook负责安全事务的副总裁Guy Rosen为此次事件发声，

公司也采取了很多措施，分析了攻击期间安装或登录的所有第三方应用程序的日志。到目前为止，调查没有发现攻击者使用Facebook登录访问任何应用程序的证据。对于使用Facebook SDK的开发人员，以及那些定期检查其用户访问权限有效性的开发人员，会在重置访问授权时自动受到保护。但是，由于一些开发人员可能不使用官方SDK，或定期检查Facebook访问令牌是否有效，对此公司正在开发工具，使开发人员能够手动识别可能受影响的应用程序的用户，以便记录。攻击发生时，我们发现并分析了第三方的访问权限。调查没有发现攻击者使用Facebook登录的任何应用。对此次黑客攻击，我们万分抱歉。（We’re sorry that this attack happened.） ”

从法律角度讲，根据欧盟2018年5月25日正式生效的法案《一般数据保护条例》规定，受到黑客攻击的脸书用户可以根据证据提请诉讼，并有望可获得赔偿。此次调查其结果和执法过程具有强大的示范效应，因为这是条例生效后爆发的最大事件，处于众目睽睽之下。因此，考验欧盟数据法案能否彻底执行的时刻来了。

三、谣言四起，教授Twitter解读

由于影响可能会比预计的大得多，因此网络上谣言和讨论到处都是，那些被盗的授权可以用来访问许多其他网站。一位计算机专业的学术人士的言论，受到高度关注，因为高科技问题的本质，还需要懂行的专业人士来解读。伊利诺伊大学芝加哥分校计算机科学助理教授Jason Polakis的Twitter帖子中列出了一些潜在的问题，现在这些帖子成为热搜内容。

伊利诺伊大学芝加哥分校计算机科学助理教授Jason Polakis的Twitter帖子

考虑到@Facebook漏洞的规模和严重性，我将根据我们最近的@usenixsecurity文件，与@m0eb1t、amrutha、@kaytwo、@stevecheckoway分享一些想法，我们在那里探讨了你的Facebook账户被攻破的后果。

由于单点登录功能如何与第三方（在SSO环境中称为依赖方）的本地帐户管理交互，出现了许多微妙且不太明显的问题。Facebook当前的行动并不能阻止这些攻击。我们希望这一事件能激励主要供应商更好地解决当前SSO方案的缺点，在实践中对认证实现进行更彻底的评估，并采用我们提出的防御措施。正如这个事件所显示的，身份验证和访问控制缺陷可以以复杂的方式表现出来，并且在许多不同的网站上都有影响。

四、被盗后，Facebook还能补救吗？

行动一：修复漏洞，并报了警。

行动二：及时通知，和用户说明情况。

重置了受影响的近5000万个帐户的访问授权，以保护账户安全。采取了预防措施，重新设置4000万个帐户的访问授权。因此，现在大约有9000万人需要重新登录Facebook或任何使用Facebook登录的应用程序。重新登录后，人们会在新闻信息流的顶部收到通知，有详细的通知，来向用户解释发生了什么。

有详细的通知，来向用户解释发生了什么。

行动三：关闭一项常用功能，进行彻底的安全审查。

此次攻击利用了Facebook代码中许多问题的相互作用，使情况非常的复杂，暂时关闭了查看（View As）”功能。问题源于在2017年7月对视频上传功能所做的更改，产生了间接影响。黑客攻击者不仅需要找到此漏洞并使用它来获取访问授权，他们还必须从该帐户转到其他人，以便偷取更多授权。

偷取更多授权

由于调查刚刚开始，尚未确定这些帐户是否被滥用或是否访问了任何信息。也不知道这些攻击的背后是谁，以及他们所在的位置。正在努力更好地追踪这些细节，当获得更多信息或事实发生变化时，会更新此内容的发布。如果发现更多受影响的帐户，会立即重置其访问权限。

人们的隐私和安全非常重要，Facebook立即采取行动保护这些帐户并让用户知道发生了什么。用户不需要更改密码，Facebook可以照常登录和退出。

五、殃及千个网站要面临未知风险

除了Facebook压力山大，允许客户使用Facebook工具登录的公司也发了慌，正在争先恐后地弄清楚他们自己的用户帐户是否已被盗用。比如叫车服务技术公司优步（Uber），在调查此事期间已经关闭了使用Facebook登录授权。另一些公司，则立刻进行公开声明安抚用户，比如对用户信息颇为敏感的约会软件。约会应用程序Tinder发言人在一份声明中表示，Tinder以及集团旗下应用程序确实依靠Facebook的一键登录的工具作为登录方式，虽然这次黑客攻击Facebook提供的信息非常有限，但是没有发现帐户遭到破坏的证据。

约会软件

约会软件

这类安全事件已经不是第一次发生，只是这次的规模史无前例的大，但是要知道三年前，网飞（Netflix）就不再允许用户使用他们的Facebook账户进行连接，新用户在注册时必须创建用户名和密码。2017年7月，由于安全措施不足，黑客通过利用三个软件错误，伪造了访问授权”，用于获取用户帐户的数字密钥。从那开始，黑客便可以接管账户，能够做任何用户可以在自己的Facebook帐户上做的事情，包括登录到第三方应用程序。

在与记者的电话会议中，Facebook表示尚未详细评估违规的范围，该公司也没有发现谁应对此次袭击负责。

亲爱的数据

出品：谭婧

美编：陈泓宇

?