Facebook 遭網絡攻擊影響五千萬用戶

Facebook 舉行新聞發佈會(發佈會文字記錄,PDF 格式),宣佈

遭到網絡攻擊,可能有多達五千萬用戶信息洩露,它已經根據歐洲數據保護法規 GDPR 要求通知了愛爾蘭數據保護委員會。漏洞是三個 bug 組合的結果:第一個 bug 與 View As 功能有關,View As 允許用戶以他人的角度查看自己個人主頁,在特殊情況下 View As 會展示視頻上傳功能(比如鼓勵用戶發生日快樂祝賀);第二個 bug 存在視頻上傳功能中,它不正確的使用了單點登錄功能,會產生訪問令牌,訪問令牌可以讓瀏覽器記住用戶的登錄狀態;第三個 bug 是 View As 顯示的視頻上傳功能不是為你而是為你查看的特定用戶產生訪問令牌。存在漏洞的 View As 工具是在 2017 年 7 月加入到系統中的,9 月 16 日 Facebook 監視到了異常活動,9 月 25 日它發現了攻擊以及攻擊使用的漏洞。它迅速修復了漏洞並通知了執法部門,重置了受影響的五千萬用戶的訪問令牌,並出於謹慎考慮重置另外四千萬過去一年使用該功能的用戶的訪問令牌。大約有九千萬用戶需要重新登錄。Facebook 還臨時關閉了 View As 功能。


分享到:


相關文章: