9月28日,脸书 ( Facebook)再次爆出漏洞攻击,也是史上最严重资料安全漏洞,导致全球至少5,000万名脸书帐户资讯恐遭骇客窃取,一个名为「View As(即「以….身份检视」)」的功能代码被破解,使黑客可以获得帐户的存取令牌(Access Token),继而在不需要另外需入户口密码的情况下全面控制有关用户的 Facebook 帐号。然而这漏洞是去年就出现,脸书处理动作更是后知后觉,让近期正在积极修复用户信任和宣称自己很安全的脸书,再次受到重大打击。
骇客利用「检视角度」入侵上千万帐号
此次事件可说是脸书史上最大规模的资安漏洞,连官方都喊罕见的发布了安全公告,主动说明了此次的事情。根据脸书的公告与其他媒体的报导,骇客透过了「View As(即「以….身份检视」)」功能中的漏洞,进入受影响者帐号查看相关个人资讯。「View as」的功能,是脸书过去推出的一个隐私工具,它可以让使用者透过其他用户的角度查看自己帐号呈现在特定用户前的样貌,让用户确认自己的那些资讯是否有被公开给特定对象。不过这个用来保护隐私的工具,如今却被骇客用来侵犯隐私。
在过去一年中,任何在个人资料中使用了「View as」功能的人都必须再次登录脸书,根据估计,此次因相关漏洞而受影响的脸书帐号高达 5000 万个,另外还有超过 4000 万名用户的帐号也可能因此受到影响。除此之外,脸书产品管理副总裁盖伊罗森( Guy Rosen)指出,脸书另外一个上传生日祝贺影片的功能,也包含了类似的漏洞,一样可以让骇客取得权限,查看受影响者的帐号内容。
漏洞存在超过一年才被发现
伊罗森指,这个重大安全漏洞早在去年7月脸书就存在,但直到25日下午脸书工程师才发现现异常活动有所增加,脸书安全部门接获通报随即展开调查,并同时通报执法机关,也紧急展开漏洞修补作业。但到了周五才完成修补,晚上才发布公告揭露有这个开采漏洞。脸书创办人暨执行长扎克伯格(Mark Zuckerberg)亲自说明整起攻击事件的始末。尽管表示目前已采取更多的预防措施来重新设定9000万用户的登录资讯。这会要求这些用户在下次登陆帐户时重新输入帐户资讯。不过扎克伯格坦承,由于他们才刚展开调查,目前仍无法确定受骇的脸书帐户个人资料,是否已遭到骇客恶意滥用,亦于知道骇客的攻击目的、攻击者的身分以及有没有其他漏。并表示公司已向美国和欧洲的联邦调查局和监管机构发出警告。到目前为止,这些问题都没有严重影响该公司20亿全球用户的信心。
多次发生隐私安全问题
今年软早前,脸书就曾在特朗普活动中,脸书承认数据资料公司「剑桥分析」(Cambridge Analytica)不正当地从取得数百万用户档案中获取了个人数据的丑闻。然后,国会调查发现,自2016年以来,俄罗斯和其他国家的代理商一直在脸书发布虚假政治广告。四月,扎克伯格被要求到美国国会听证会备询,当时祖克柏承诺将脸书强化资讯安全。对于这次事件,Rendition Infosec的安全专家杰克威威廉斯(Jake Williams)表示,该公司的「Facebook登录」功能允许用户使用他们的脸书帐号据登录其他应用程序和网站,他担心黑客可能会入侵第三方应用程序。脸书周五晚间也证实第三方应用程序以及自己的Instagram应用程序可能已受到影响。约翰斯·霍普金斯大学(Johns Hopkins University)教授托马斯·里德(Thomas Rid)表示,在这次的案例中,不能太早定断是否与一个民族国家有联系。 里德说它可能只是垃圾邮件发送者或犯罪分子。