大规模Facebook数据泄露:您需要知道并尽快做什么
上周五,数以千万计的Facebook用户试图看到他们的朋友分享了什么只是为了发现他们已经神秘地从他们的帐户中退出。重新登录后,他们了解了原因 - 他们受到了可能导致完整帐户接管的漏洞的影响。
该漏洞于9月16日首次被发现,当时Facebook的安全人员注意到发送到其中一个社交媒体API的查询数量激增。没有关于此峰值是否已连接的信息,但经过调查后,他们发现了三个单独的错误,如果合并,可能会让攻击者完全访问用户的个人资料。
更糟糕的是,他们意识到黑客实际上已经在他们面前发现了这个漏洞并且已经利用了它。他们没有浪费时间,修补了漏洞,通知了执法部门,并告诉公众发生了什么。
Table of Contents
Facebook周五将我从帐户中删除了。这是否意味着我应该更改密码?
那不是必要的。帐户接管漏洞依赖于窃取访问令牌,而不是密码。访问令牌允许您在移动设备和浏览器上保持登录状态,而无需在每次要滚动新闻源时输入登录凭据。通过在所有设备上将您从帐户中注销,Facebook的安全团队有效地使您的所有访问令牌无效,这意味着即使当前有人拥有它们,他们也将无法使用它们。如果Facebook没有让您退出帐户,则不会认为您处于任何直接危险之中。
访问令牌是如何被盗的?
该漏洞是在2017年7月Facebook推出其视频上传器的新版本时引入的,但奇怪的是,该漏洞是通过完全不同的功能 - 视图为特征来利用的。
正如名称所示,“查看为”功能可让您了解您与前任重要人物(或其他任何人)共享的内容有多少。在与记者的电话会议中,安全和安全副总裁Guy Rosen表示,在View As模式下,你根本不应该看到Facebook的视频上传者。然而,由于一个错误,它确实出现在一些罕见的情况下。它的外观引发了另一个错误,它产生了一个访问令牌,它提供了几第三个也是最后一个错误导致生成错误的访问令牌 - 不是您的帐户的一个,而是您的前半部分的配置文件。
攻击有多大?
周五,Facebook将9000万人从他们的帐户中删除,以使其访问令牌无效。其中有5000万人的黑名单被盗,而其他人则为安全起见而退出。
虽然受影响的账户数量占Facebook 22亿活跃用户的一小部分,但不要嗤之以鼻。此外,它可以证明,对于像Facebook这样的大型在线平台,当出现问题时,它们对许多人来说都是错误的。
黑客窃取了什么?
活动访问令牌使攻击者能够执行帐户所有者可以执行的所有操作。基本上,帐户中可用的所有信息(对于所有者的信用卡详细信息是安全的)可以非法获得。 Facebook的官员承认,现在说还为时尚早,但到目前为止,还没有任何数据滥用的证据. 话虽如此,攻击的规模是显着的,其性质表明它是由一群老练的黑客而不是少数脚本小子进行的。
Facebook的调查正在进行中,我们将确保在可用时为您提供更多结果。与此同时,最重要的问题仍然存在。
我该怎样做才能保护自己?
总之,并不多。没有证据表明您的密码遭到破坏,因此更改密码并不是必需的,而且上周部署的补丁理论上已经阻止了攻击。
最近几个月,Facebook在用户隐私方面犯了一些错误 ,这表明你可以做的一件事就是仔细考虑你是否认为你的数据与马克扎克伯格的人一起处于安全的状态。如果您确定要继续使用Facebook,则可能需要查看您的个人资料中可用的信息量。毕竟,如果数据不存在,您的数据就不会被盗。