社交網(wǎng)絡(luò)巨頭Facebook本周公布了其系統(tǒng)遭受攻擊的更多細(xì)節(jié)，據(jù)稱(chēng)該系統(tǒng)通過(guò)令牌操作能夠暴露用戶(hù)的個(gè)人詳細(xì)信息。不過(guò)目前已將受影響用戶(hù)范圍從5000萬(wàn)縮減到3000萬(wàn)。

Facebook承認(rèn)被黑

Facebook于9月25日發(fā)現(xiàn)遭到攻擊，并于上月底宣布了這一漏洞：Facebook的“僅查看（view-only）”系統(tǒng)存在缺陷，此系統(tǒng)允許用戶(hù)查看其個(gè)人資料和其他網(wǎng)頁(yè)，就好像是其他用戶(hù)在瀏覽一樣。而攻擊者則其中漏洞逐步獲取任意用戶(hù)帳戶(hù)令牌的訪問(wèn)權(quán)限 - 允許他們?cè)L問(wèn)所謂的私人信息，而無(wú)需知道與所述帳戶(hù)相關(guān)聯(lián)的密碼。

當(dāng)時(shí)，F(xiàn)acebook產(chǎn)品管理副總裁蓋伊羅森表示，此漏洞暴露了大約5000萬(wàn)用戶(hù)帳戶(hù)，另有4000萬(wàn)用戶(hù)可能因使用“僅查看”功能而暴露出來(lái)?，F(xiàn)在正將這一估計(jì)數(shù)量減少到大約3000萬(wàn)，實(shí)際上這些人的令牌已經(jīng)被盜了。

首先，攻擊者已經(jīng)控制了一組賬戶(hù)，這些賬戶(hù)與Facebook上的好友有關(guān)。他們使用自動(dòng)遷移技術(shù)從帳戶(hù)轉(zhuǎn)移到另一帳戶(hù)，這樣他們就可以竊取更多好友的訪問(wèn)權(quán)限，以及這些好友的朋友等等，總共涉及約有40萬(wàn)實(shí)際用戶(hù)。其中包括時(shí)間軸上的帖子、他們的朋友列表、他們所屬的群組以及最近的Messenger對(duì)話名稱(chēng)。雖然消息內(nèi)容不可用于攻擊者，但有一個(gè)例外，即如果此組內(nèi)的某人是頁(yè)面管理員的話。

隨后攻擊者利用這40萬(wàn)人好友名單中的一部分來(lái)竊取大約3000萬(wàn)人的訪問(wèn)權(quán)限。對(duì)于其中1500萬(wàn)人來(lái)說(shuō)，攻擊者訪問(wèn)了兩組信息：姓名和聯(lián)系方式（電話號(hào)碼、電子郵件）。對(duì)于另外1400萬(wàn)人來(lái)說(shuō)，攻擊者則能夠訪問(wèn)到更多的個(gè)人信息，包括用戶(hù)名、性別、區(qū)域/語(yǔ)言、關(guān)系狀態(tài)、宗教、家鄉(xiāng)、所在城市、出生日期、教育、工作、用于訪問(wèn)Facebook的設(shè)備類(lèi)型、他們簽入或標(biāo)記的最后10個(gè)地方/網(wǎng)站，以及他們關(guān)注的人或頁(yè)面以及最近的15次搜索等等。

雖然遭受此等大規(guī)模信息泄露的攻擊事件，并不是什么光彩的事，但像Facebook這樣敢于及時(shí)公開(kāi)并提醒用戶(hù)注意的公司并不多見(jiàn)，當(dāng)然也許是為了避免通用數(shù)據(jù)保護(hù)條例（GDPR）的重罰。但無(wú)論怎么說(shuō)，對(duì)于攻擊事件的快速響應(yīng)，并站到用戶(hù)角度及時(shí)給予解決，仍是比較積極的。