9月28日,臉書 ( Facebook)再次爆出漏洞攻擊,也是史上最嚴重資料安全漏洞,導致全球至少5,000萬名臉書帳戶資訊恐遭駭客竊取,一個名為「View As(即「以….身份檢視」)」的功能代碼被破解,使黑客可以獲得帳戶的存取令牌(Access Token),繼而在不需要另外需入戶口密碼的情況下全面控制有關用戶的 Facebook 帳號。然而這漏洞是去年就出現,臉書處理動作更是後知後覺,讓近期正在積極修復用戶信任和宣稱自己很安全的臉書,再次受到重大打擊。
駭客利用「檢視角度」入侵上千萬帳號
此次事件可說是臉書史上最大規模的資安漏洞,連官方都喊罕見的發布了安全公告,主動說明了此次的事情。根據臉書的公告與其他媒體的報導,駭客透過了「View As(即「以….身份檢視」)」功能中的漏洞,進入受影響者帳號查看相關個人資訊。「View as」的功能,是臉書過去推出的一個隱私工具,它可以讓使用者透過其他用戶的角度查看自己帳號呈現在特定用戶前的樣貌,讓用戶確認自己的那些資訊是否有被公開給特定對象。不過這個用來保護隱私的工具,如今卻被駭客用來侵犯隱私。
在過去一年中,任何在個人資料中使用了「View as」功能的人都必須再次登錄臉書,根據估計,此次因相關漏洞而受影響的臉書帳號高達 5000 萬個,另外還有超過 4000 萬名用戶的帳號也可能因此受到影響。除此之外,臉書產品管理副總裁蓋伊羅森( Guy Rosen)指出,臉書另外一個上傳生日祝賀影片的功能,也包含了類似的漏洞,一樣可以讓駭客取得權限,查看受影響者的帳號內容。
漏洞存在超過一年才被發現
伊羅森指,這個重大安全漏洞早在去年7月臉書就存在,但直到25日下午臉書工程師才發現現異常活動有所增加,臉書安全部門接獲通報隨即展開調查,並同時通報執法機關,也緊急展開漏洞修補作業。但到了周五才完成修補,晚上才發布公告揭露有這個開採漏洞。臉書創辦人暨執行長扎克伯格(Mark Zuckerberg)親自說明整起攻擊事件的始末。儘管表示目前已採取更多的預防措施來重新設定9000萬用戶的登錄資訊。這會要求這些用戶在下次登陸帳戶時重新輸入帳戶資訊。不過扎克伯格坦承,由於他們才剛展開調查,目前仍無法確定受駭的臉書帳戶個人資料,是否已遭到駭客惡意濫用,亦于知道駭客的攻擊目的、攻擊者的身分以及有沒有其他漏。並表示公司已向美國和歐洲的聯邦調查局和監管機構發出警告。到目前為止,這些問題都沒有嚴重影響該公司20億全球用戶的信心。
多次發生隱私安全問題
今年軟早前,臉書就曾在特朗普活動中,臉書承認數據資料公司「劍橋分析」(Cambridge Analytica)不正當地從取得數百萬用戶檔案中獲取了個人數據的醜聞。然後,國會調查發現,自2016年以來,俄羅斯和其他國家的代理商一直在臉書發布虛假政治廣告。四月,扎克伯格被要求到美國國會聽證會備詢,當時祖克柏承諾將臉書強化資訊安全。對於這次事件,Rendition Infosec的安全專家傑克威威廉斯(Jake Williams)表示,該公司的「Facebook登錄」功能允許用戶使用他們的臉書帳號據登錄其他應用程序和網站,他擔心黑客可能會入侵第三方應用程序。臉書週五晚間也證實第三方應用程序以及自己的Instagram應用程序可能已受到影響。約翰斯·霍普金斯大學(Johns Hopkins University)教授托馬斯·里德(Thomas Rid)表示,在這次的案例中,不能太早定斷是否與一個民族國家有聯繫。 里德說它可能只是垃圾郵件發送者或犯罪分子。