你的FB帳號也「被登出」了嗎?Facebook承認遭駭,估計超過5000萬筆帳號受影響
昨天有很多網友發現自己的Facebook帳號被登出,需要重新登入。而這個現象不光只是在台灣,事實上在世界各地都有。而Facebook的CEO祖克伯也在今天發表了聲明證實,Facebook遭到了駭客利用漏洞入侵,受到影響的用戶帳號筆數超過5000萬筆。
官方表示,他們發現有攻擊者利用一個在 Facebook 程式碼內的漏洞,讓駭客可以控制用戶的帳號,Facebook 也立即修正有關的漏洞,並通知FBI協助調查。至於昨天 Facebook 大規模的讓超過有 9000 萬筆的用戶帳號登出,Facebook表示這是他們正在進行安全修正,並不代表用戶的帳號已經被入侵,因此不用太過緊張。
祖克伯在臉書上發表了公告:
這個漏洞來自於FB一個「檢視角度」(View As)的功能,這個功能本來是用來讓用戶可以用其他人的角度來檢視,看看別人瀏覽自己的臉書會看到怎樣的內容。但由於這個功能的漏洞,當你使用「檢視角度」時將導致駭客在特定情況下可以看到你的存取權杖(access tokens),進而用來挾持你的帳號。
存取權杖的作用,你可以把它想像成是用來做安全身份認證的Cookies,讓你可以快速登入你的網路服務。同樣的,別人取得了這個Cookies,也就可以登入你的網路服務。因此,Facebook先重設了5000萬名可能受影響的帳號,之後又將自從漏洞發現以來,統計所有使用過「檢視角度」的用戶,估計超過有4000萬名,他們也將這些用戶進行了強制的登出。因為只要登出之後再重新登入,駭客取得的存取權杖就沒有用了。
FB的高層Guy Rosen表示,這個漏洞主要是從2017年當他們推出上傳影片工具的時候,影響到「檢視角度」的漏洞,駭客不僅僅是可以透過這個漏洞來找到用戶的存取權杖,而且他還可以利用這個存取權杖為軸心,去竊取更多的存取權杖。
祖克伯表示:「這是一個很嚴重的安全問題,我們也以很慎重的態度在處理。」
現在隨著這個漏洞的公佈,FB表示他們也暫停了「檢視角度」的功能,要進行更深入的安全測試。現在當你點選「檢視角度」,會看到已經停用的聲明。