臉書史上最大資安危機:漏洞存在超過一年,總受影響用戶超過 9000 萬!

臉書爆發史上最嚴重資安漏洞,導致超過 5000 萬名用戶帳號暴露在被入侵的風險中,然而臉書後知後覺,處理動作又慢半拍的狀況下,讓近期正在積極修復用戶信任、宣稱自己很安全的臉書,再次受到重大打擊。

駭客利用「零時漏洞」入侵臉書,影響上千萬帳號

此次事件可說是臉書史上最大規模的資安漏洞,連官方都喊罕見的 發布了安全公告 ,主動說明了此次的事情。

根據臉書的公告與其他媒體的報導,駭客透過了「檢視角度(View as)」功能中的漏洞,取得了「存取權杖(Access Token)」資料,並可能藉此進入受影響者帳號查看相關個人資訊。

「檢視角度(View as)」的功能,是臉書過去推出的一個隱私工具,它可以讓使用者透過其他用戶的角度查看自己帳號呈現在特定用戶前的樣貌,讓用戶確認自己的那些資訊是否有被公開給特定對象。

不過這個照理說是用來保護隱私的工具,如今卻被駭客用來侵犯隱私,著實諷刺。

除此之外,臉書認為另外一個上傳生日祝賀影片的功能,也包含了類似的漏洞,一樣可以讓駭客取得權限,查看受影響者的帳號內容。

根據估計,此次因相關漏洞而受影響的臉書帳號高達 5000 萬個,另外還有超過 4000 萬名用戶的帳號也可能因此受到影響。

相關漏洞存在超過一年才被發現,臉書:無法估計損害程度

但這次事件最令人擔憂的點,在於漏洞存在的時間,以及臉書對於入侵程度的把握。

據調查,此次事件中駭客採用的漏洞, 早在 2017 年 7 月就已存在,然而臉書直至 2018 年 9 月 25 日才發現相關漏洞 ,雖然展開了緊急修補作業,卻仍遲至 27 日才將相關問題修復完成,並在 28 日採其他應對措施。

除此之外,臉書在官方報告中坦言,由於他們才剛展開調查,目 前他們無法確認駭客入侵的程度、帳號受影響的狀態,駭客的攻擊目的、攻擊者的身分等關鍵資訊 ,若他們在後續調查中有任何發現,他們也將會第一時間發布更新資訊告知用戶。

臉書:修補漏洞、受影響用戶需重新登入

臉書表示,他們已經做了兩個緊急處置:

  1. 目前,所有的相關系統漏洞都已經修復完成,同時也暫時關閉了「檢視角度」功能,直到進一步的狀況明瞭。
  2. 針對受影響的 5000 萬名用戶,以及其他可能受牽連的 4000 萬名用戶,臉書已經強制登出這些帳號所有已登入的裝置,受影響的用戶將會被臉書要求重新登入帳號,並且在登入後收到相關的報告,告知事情始末。

針對第二點,台灣用戶在昨日(28)晚間也有許多人遭遇相關情況,但並非所有人都有收到相關的報告資訊,尚不確定是否是因為只有介面為英文的用戶才會收到報告的緣故。

臉書表示,他們已經通報相關調查單位,正在積極的調查事情始末。

同時,他們也發布了官方影片,解說相關事情始末(英文):

Guy Rosen, VP of Product Management

Posted by Facebook on Friday, 28 September 2018

檢查登入裝置、更改密碼

對於受影響的用戶,或是沒有被登出,但是還是對自己帳號安全有疑慮的用戶,可以按照以下方式進一步加強帳號安全:

  1. 開啟臉書網頁,在右上方的下拉式清單中選擇「設定」,在設定頁面中選擇「帳號安全和登入」。
  2. 檢查「你登入時所在的位置」當中,是否有陌生的裝置或是登入位置。如果是受到影響的用戶,在被臉書登出並自行登入後,這邊應該會很乾淨到只有一兩個稍早自行登入的裝置;而沒受影響的用戶若是想更保險一點的話,可以展開清單,並點選清單右下角的「登出所有連線裝置」,手動重設所有認證。
  3. 還有疑慮的用路,可使用下方的「更改密碼」功能修改密碼,並且啟用「使用雙重驗證」功能,進一步保證帳號安全。
臉書的安全設定頁面。圖片截圖來源:臉書。
臉書的安全設定頁面。圖片截圖來源:臉書。

雖然,理論上本次駭客所使用的攻擊手段,可以繞過上述的所有安全機制,但是我們也不能排除駭客在入侵期間,已經預料到漏洞會被臉書修補,並且事前取得了受害帳號的其他資訊,作為日後漏洞修補完時,入侵特定帳戶的備案,因此若有疑慮的用戶,還是可以參照上方的說明,進一步保障用戶安全。

臉書近年來資安與隱私外洩爭議不斷,而臉書也正積極地想要透過各種改革,重新挽回用戶對臉書的信任,然而此次事件的爆發,恐怕只會再次重挫臉書的隱私安全形象,看來臉書要重得用戶的信任,恐怕還有很長一段路要走。

─ ─

參考資料來源:
臉書官方公告
iThome: 臉書驚爆史上最大漏洞攻擊,全球高達 5,000 萬名用戶個資恐遭駭客竊取
中央社: 臉書承認程式漏洞遭駭 5000 萬帳號受影響
風傳媒: 臉書爆發公司史上最大規模資安危機!5000 萬用戶個資不保、9000 萬用戶須重新登入
聯合新聞網: 驚!臉書系統漏洞遭駭 恐影響約 5,000 萬用戶

(本文提供合作夥伴轉載,首圖來源:Flickr,CC Licensed。)

其他你可能會想看的文章

臉書在台擴大投資新政,是否真有培育台灣人才的誠意?
美政府傳要求臉書解密 Messenger 遭拒:不管重寫程式或協助破解,我們都不幹!
臉書向銀行暗討財務個資,連交易紀錄都交出去你到底還剩什麼?
臉書拯救名聲的最後底牌:用區塊鏈打擊假新聞有搞頭嗎?
【充電線別亂用】資安團隊公布暗黑駭客手法,病毒藏 USB 傳輸線一插電腦就中毒
Google 資安團隊駭客列出整排 iOS 漏洞,喊話「我也想領獎金」叫陣蘋果 CEO


【徵求產業線編輯 3 名】

工作內容與需求:

1. 高度關注國際科技趨勢、台灣產業新聞
2. 根據月度編輯台企劃,執行編輯、採訪與撰稿工作
3. 進行線上、線下媒體策展
4. 根據不同策展專案進行跨部門溝通
5. 針對網站數據做解讀與優化分析
6. 具有 2~3 年工作經驗的媒體工作者
7. 習慣閱讀《彭博社》、《財富雜誌》、《金融時報》、《Fast Company》者更佳
8. 目標導向思考,對準目標、彈性工作

【應徵方式】

意者請提供履歷自傳以及「相關文字作品」,寄至 [email protected]。來信主旨請註明:【應徵】TechOrange 社群編輯:您的大名

點關鍵字看更多相關文章: