大規模Facebook數據洩露：您需要知道並儘快做什麼

上週五，數以千萬計的Facebook用戶試圖看到他們的朋友分享了什麼只是為了發現他們已經神秘地從他們的帳戶中退出。重新登錄後，他們了解了原因 - 他們受到了可能導致完整帳戶接管的漏洞的影響。

該漏洞於9月16日首次被發現，當時Facebook的安全人員注意到發送到其中一個社交媒體API的查詢數量激增。沒有關於此峰值是否已連接的信息，但經過調查後，他們發現了三個單獨的錯誤，如果合併，可能會讓攻擊者完全訪問用戶的個人資料。

更糟糕的是，他們意識到黑客實際上已經在他們面前發現了這個漏洞並且已經利用了它。他們沒有浪費時間，修補了漏洞，通知了執法部門，並告訴公眾發生了什麼。

Table of Contents

Facebook週五將我從帳戶中刪除了。這是否意味著我應該更改密碼？

那不是必要的。帳戶接管漏洞依賴於竊取訪問令牌，而不是密碼。訪問令牌允許您在移動設備和瀏覽器上保持登錄狀態，而無需在每次要滾動新聞源時輸入登錄憑據。通過在所有設備上將您從帳戶中註銷，Facebook的安全團隊有效地使您的所有訪問令牌無效，這意味著即使當前有人擁有它們，他們也將無法使用它們。如果Facebook沒有讓您退出帳戶，則不會認為您處於任何直接危險之中。

訪問令牌是如何被盜的？

該漏洞是在2017年7月Facebook推出其視頻上傳器的新版本時引入的，但奇怪的是，該漏洞是通過完全不同的功能 - 視圖為特徵來利用的。

正如名稱所示，“查看為”功能可讓您了解您與前任重要人物（或其他任何人）共享的內容有多少。在與記者的電話會議中，安全和安全副總裁Guy Rosen表示，在View As模式下，你根本不應該看到Facebook的視頻上傳者。然而，由於一個錯誤，它確實出現在一些罕見的情況下。它的外觀引發了另一個錯誤，它產生了一個訪問令牌，它提供了幾第三個也是最後一個錯誤導致生成錯誤的訪問令牌 - 不是您的帳戶的一個，而是您的前半部分的配置文件。

攻擊有多大？

週五，Facebook將9000萬人從他們的帳戶中刪除，以使其訪問令牌無效。其中有5000萬人的黑名單被盜，而其他人則為安全起見而退出。

雖然受影響的賬戶數量佔Facebook 22億活躍用戶的一小部分，但不要嗤之以鼻。此外，它可以證明，對於像Facebook這樣的大型在線平台，當出現問題時，它們對許多人來說都是錯誤的。

黑客竊取了什麼？

活動訪問令牌使攻擊者能夠執行帳戶所有者可以執行的所有操作。基本上，帳戶中可用的所有信息（對於所有者的信用卡詳細信息是安全的）可以非法獲得。 Facebook的官員承認，現在說還為時尚早，但到目前為止，還沒有任何數據濫用的證據. 話雖如此，攻擊的規模是顯著的，其性質表明它是由一群老練的黑客而不是少數腳本小子進行的。

Facebook的調查正在進行中，我們將確保在可用時為您提供更多結果。與此同時，最重要的問題仍然存在。