原標題:史上最嚴重?臉書又出隱私事故 5000萬用戶可能被黑客竊取隱私包括小扎
Facebook發(fā)現(xiàn)了一個大規(guī)模的安全漏洞����,影響了5000萬用戶賬戶,其中包括Facebook老板馬克·扎克伯格和首席運營官謝麗爾·桑德伯格�。
這家社交媒體巨頭說,攻擊者利用了該網(wǎng)站的“View As”功能�����,讓人們可以看到自己的個人資料在其他用戶眼中的樣子�����。
這些不知名的攻擊者利用代碼中一個名為“訪問令牌”(Access token)的功能來接管用戶的賬戶�����,這可能會讓黑客訪問私人信息����、照片和帖子——盡管Facebook表示,沒有證據(jù)表明已經(jīng)有人這么做了�����。
黑客還試圖從Facebook的系統(tǒng)中獲取人們的個人信息,包括姓名�����、性別和家鄉(xiāng)����。
Facebook表示�,目前尚不清楚來自受影響賬戶的信息是否被濫用或侵入,并正與美國聯(lián)邦調(diào)查局(FBI)合作進行進一步調(diào)查�����。
然而�,馬克·扎克伯格向用戶保證,密碼和信用卡信息不會被訪問�����。
作為安全措施����,該公司今天早些時候?qū)⒋蠹s9000萬人的賬戶注銷。
Facebook表示�,當受影響的用戶試圖訪問該網(wǎng)站時�����,系統(tǒng)會提示他們重新登錄Facebook�����。
用戶通過電子郵件或移動設(shè)備收到一個六位數(shù)的代碼來驗證他們的身份����,然后系統(tǒng)引導他們進入Facebook的網(wǎng)站����。
在用戶重新登錄后,他們會在新聞提要的頂部收到一個通知����,說明發(fā)生了什么。
Facebook還表示����,在進行徹底的安全審查時,將暫時關(guān)閉“View As”功能�。
此次攻擊是Facebook最近一系列挫折中的最新一起。今年早些時候,劍橋分析(Cambridge Analytica)丑聞的余波仍在恢復中�����。
因此�����,一些專家和官員越來越擔心這家公司能否有效管理和保護用戶數(shù)據(jù)�。
安全公司Darktrace網(wǎng)絡(luò)情報總監(jiān)賈斯廷?菲爾(Justin Fier)對路透社(Reuters)表示,這一事件的影響是巨大的����。
這一缺口還可能給Facebook帶來歐洲隱私法方面的問題�。
Facebook表示,已將此事告知愛爾蘭數(shù)據(jù)保護委員會(Irish Data Protection Commission)�,這是歐洲GDPR法規(guī)要求的步驟。
歐盟委員會表示�,它收到了通知,但對通知的時機和缺乏細節(jié)表示擔憂�����。
弗吉尼亞州參議員馬克·沃納(Mark Warner)稱此次黑客攻擊“令人深感擔憂”�����,并呼吁展開全面調(diào)查。
“…今天的披露提醒了我們�,當少數(shù)幾家公司,比如Facebook或美國信用管理局Equifax����,能夠在沒有足夠安全措施的情況下,收集如此多的美國個人數(shù)據(jù)時�,會帶來什么樣的危險?����!?/p>
“這是另一個發(fā)人深省的跡象�����,表明國會需要加大力度�,采取行動保護社交媒體用戶的隱私和安全。就像我之前說過的那樣����,社交媒體上狂野西部的時代已經(jīng)結(jié)束了?!?/p>
就在消息公布后不久,一些Twitter用戶也開始報道,F(xiàn)acebook禁止他們分享美聯(lián)社(Associated Press)和《衛(wèi)報》(the Guardian)報道的黑客事件的鏈接�。
當用戶試圖分享這些鏈接時,他們收到了一條信息:“我們的安全系統(tǒng)發(fā)現(xiàn)很多人發(fā)布了相同的內(nèi)容�,這可能意味著這是垃圾郵件。請試試別的帖子�。”
此舉讓一些人猜測�,這是Facebook壓制負面報道的結(jié)果。
不過����,F(xiàn)acebook后來向《紐約時報》證實�����,這是該公司垃圾郵件檢測工具出錯的結(jié)果����。
周五公布的消息令Facebook股價在午后交易中重挫3.4%����,令本已艱難的一年雪上加霜����。今年迄今,F(xiàn)acebook股價已累計下跌6.7%。
扎克伯格在自己的Facebook個人主頁上就此事發(fā)表了一篇帖子�����,稱此事“昨晚已修復”�,但該公司正與包括美國聯(lián)邦調(diào)查局(FBI)在內(nèi)的執(zhí)法部門合作�,調(diào)查此次襲擊的起因�����。
扎克伯格寫道:“周二�����,我們發(fā)現(xiàn)一個攻擊者利用技術(shù)漏洞竊取了訪問令牌�,讓他們可以登錄大約5000萬人的Facebook賬戶����?����!?/p>
訪問令牌不包含用戶的密碼�,但允許用戶登錄Facebook帳戶而不需要密碼����。
扎克伯格在一份對記者的聲明中承認�,F(xiàn)acebook需要采取額外的措施來防止此類問題在未來發(fā)生�。
“我們真的很認真……我們公司在安全方面做出了重大努力�,加強了我們所有的安全防護�。”扎克伯格在與記者的電話交談中說�����。
“我很高興我們找到了這個�����。但這件事發(fā)生在一開始就肯定是個問題�。”
Facebook不知道這些賬號是否被濫用�����,也沒有發(fā)現(xiàn)任何濫用的證據(jù)�����。
不過����,扎克伯格在接受記者采訪時說����,這種情況當然可能會改變,也就是說�����,在對這起事件進行進一步調(diào)查后�����,他們有可能找到數(shù)據(jù)被濫用的證據(jù)�����。
Facebook表示����,目前正與美國聯(lián)邦調(diào)查局(FBI)合作,進一步調(diào)查這起事件。
Facebook負責產(chǎn)品管理的副總裁蓋伊?羅森(Guy Rosen)表示,此次攻擊似乎源于該公司視頻上傳程序中的一個漏洞。
Facebook去年開始允許用戶在其網(wǎng)站上上傳視頻。
羅森在接受記者采訪時說:“漏洞本身是三個不同漏洞的結(jié)果�����,它們之間的整合是在2017年7月通過視頻上傳器推出的。”
羅森說����,攻擊確實試圖使用API訪問姓名或性別等個人信息�。
專家們警告Facebook用戶要警惕可能的“釣魚攻擊”�?���!搬烎~攻擊”指的是攻擊者偽裝成合法實體����,誘騙用戶打開惡意信息����、電子郵件或短信����。
這可能導致安裝惡意軟件�����,通過勒索軟件凍結(jié)系統(tǒng)或竊取敏感信息�����。
這些信息可以用來購買商品����、竊取資金或有助于身份盜竊。
在Facebook宣布此次入侵后����,該公司就下一步行動發(fā)布了指導意見——九千萬帳戶已自動被注銷,但無須更改密碼�。
如果你登錄有困難——例如因為忘記密碼,你應(yīng)該訪問Facebook的幫助中心����。
如果你還沒有被自動注銷,但你想要注銷作為預防措施�����,訪問“安全和登錄”部分列出了你登錄到Facebook的所有地方����。
可以使用一鍵選擇在所有的pc和設(shè)備上登出Facebook�����,你可能已經(jīng)訪問它�����。
然而,羅森強調(diào)�����,這次攻擊讓攻擊者可以像操作用戶一樣操作概要文件�。
“…有一點很重要:攻擊者可以把賬戶當作賬戶持有人來使用?����!?/p>
在線隱私網(wǎng)站Top10VPN.com的研究和網(wǎng)絡(luò)安全專家西蒙米格里亞諾(Simon Migliano)說�����,雖然用戶的信用卡信息和密碼可能沒有被訪問�����,但其他敏感信息仍有可能被訪問�����。
米格里亞諾解釋說�,即使這些賬戶很快被禁用,或者登錄信息發(fā)生了變化�����,至少黑客們已經(jīng)掌握了主要的電子郵件地址。
“一次被黑是不小心�����,再次被黑是不可原諒的����,這可能會不可挽回地損害用戶對Facebook的信任。當他們說他們已經(jīng)解決了問題時����,誰還會再相信他們呢?”米格里亞諾補充道。
FACEBOOK的隱私丑聞
今年早些時候�,政治咨詢公司劍橋分析公司(Cambridge Analytica)不當訪問了Facebook的8700萬用戶的數(shù)據(jù),F(xiàn)acebook因此成為頭條新聞����。
這一信息的披露引發(fā)了政府對該公司在全球范圍內(nèi)隱私行為的調(diào)查,并在消費者中引發(fā)了一場“刪除facebook”運動�。
通信公司Cambridge Analytica在倫敦�、紐約、華盛頓以及巴西和馬來西亞都有辦事處����。
該公司夸口說�,它可以通過數(shù)據(jù)驅(qū)動的競選活動和一個包括數(shù)據(jù)科學家和行為心理學家在內(nèi)的團隊�����,“找到你的選民�����,讓他們行動起來”����。
劍橋分析公司(Cambridge Analytica)在其網(wǎng)站上說,僅在美國國內(nèi)�,我們就在贏得總統(tǒng)競選、國會和州選舉方面發(fā)揮了關(guān)鍵作用����。該公司的網(wǎng)站上顯示,其擁有超過2.3億美國選民的數(shù)據(jù)�����。
該公司從一項功能中獲益,該功能意味著應(yīng)用程序可以請求允許訪問自己的數(shù)據(jù)以及所有Facebook好友的數(shù)據(jù)����。
這意味著該公司能夠挖掘8700萬Facebook用戶的信息,盡管只有27萬人同意這么做�。
這是為了幫助他們創(chuàng)建能夠預測和影響選民投票的軟件。
該數(shù)據(jù)公司的首席執(zhí)行官亞歷山大?尼克斯(Alexander Nix)被停職����,此前有錄音顯示,他發(fā)表了一系列有爭議的言論�,其中包括吹噓劍橋分析公司(Cambridge Analytica)在唐納德?特朗普(Donald Trump)的選舉中發(fā)揮了關(guān)鍵作用。
據(jù)說這些信息也被用來幫助英國脫歐運動�。
Facebook之前也遭遇過幾次問題。
2013年����,F(xiàn)acebook披露了一個軟件漏洞,將600萬用戶的電話號碼和電子郵件地址暴露給未經(jīng)授權(quán)的觀眾長達一年之久�����,而2008年的一個技術(shù)漏洞則披露了8000萬Facebook用戶檔案上的保密出生日期�����。
該公司周二得知此事,周三通知了執(zhí)法部門�����。到周四����,該公司已經(jīng)修補了漏洞�����,并開始重新設(shè)置訪問代碼�����。
羅森在另一篇博客文章中寫道�����,我們還采取了預防措施�,重新設(shè)置了另外4000萬個賬戶的訪問令牌,這些賬戶在去年曾被使用了“View As”功能�����。
因此,大約有9000萬人將不得不重新登錄Facebook����,或使用Facebook登錄的任何應(yīng)用程序。
23歲的梅根·懷特(Megan White)是5000萬注銷賬戶的Facebook用戶之一�,她現(xiàn)在擔心自己的個人數(shù)據(jù)可能遭到了侵犯。
她說:“如果有人黑了我�,他們可以知道我的手機號碼、工作信息和電子郵件地址�。你不知道現(xiàn)在誰掌握了這些信息,也不知道他們能用這些信息做什么�。”
她不知道為什么昨天早上她的賬戶被注銷了����,直到后來她讀到黑客攻擊的消息。
來自倫敦北部的懷特小姐正在考慮刪除她的賬戶����。
Facebook表示,目前還不知道襲擊者的來源或身份�����。
羅森解釋說:“由于我們才剛剛開始調(diào)查�,我們還沒有確定這些賬戶是否被濫用或被獲取了任何信息�����?!?/p>
“我們也不知道這些襲擊的幕后黑手是誰�,也不知道他們的基地在哪里�。我們正在努力更好地處理這些細節(jié)——當我們得到更多的信息,或者事實發(fā)生變化時�����,我們將更新這篇文章�����?���!?/p>
他還說:“此外,如果我們發(fā)現(xiàn)更多受影響的賬戶����,我們將立即重置其訪問令牌?����!?/p>
