臉書 ( Facebook)在臺灣時間9月28日晚上爆出史上最大漏洞攻擊,因為更新影片上傳功能程式碼出現開採漏洞,導致全球至少5,000萬名臉書帳戶資訊恐遭駭客竊取。然而,去年7月臉書就存在這個重大安全漏洞,但直到25日周二下午(美國當地時間)臉書才發現,並隔了3天,才在周五晚上發布公告揭露有這個開採漏洞,動作顯然是慢半拍。儘管臉書創辦人暨執行長祖克柏(Mark Zuckerberg)親上火線釋疑,說明整起攻擊事件的始末。不過,目前仍無法確定受駭的臉書帳戶個資,是否已遭到駭客惡意濫用,以及有無其他未爆漏洞仍未發現。

臺灣時間9月28日周五深夜,正當準備迎接周末之際,卻有許多臉書用戶怨聲載道,抱怨自己帳戶無預警被強制登出,甚至也有不少臺灣用戶紛紛上網留言反應沒辦法上臉書,直到隔了一段時間,才又可以重新登入,但是必須要重新輸入密碼,無法自動登入。一旦重新登入後,個人動態訊息上方會跳出一段訊息,告知強制登出原因,是因為遭遇安全問題,因而傳出臉書可能遭受駭客網路攻擊。

臉書隨後也罕見透過官方部落格發布安全更新公告,證實遭到駭客開採漏洞攻擊,導致5千萬名臉書帳戶受影響,臉書執行長祖克柏更在臺灣時間29日凌晨1點在個人臉書發文,說明整起攻擊事件的始末。

臉書說明,這個開採漏洞,是來自於去年7月更新影片上傳功能的程式碼時出現的安全漏洞,讓駭客得以經由此漏洞,間接利用臉書頁面特定用戶檢視角度(View As)功能,取得臉書用戶登入存取令牌(access tokens),token 可以讓用戶每次登入時能自動登入,不需要重新輸入帳密才能登入,駭客取得token後,等於是,就能繞過登入驗證機制,進而掌控用戶管理權限,竊取個人資訊。

但是,直到美國當地時間9月25日周二下午,臉書工程團隊才發現有這個安全漏洞問題,臉書安全部門接獲通報隨即展開調查,並同時通報執法機關,也緊急展開漏洞修補作業。但是,直到3天後,也就是周五晚上,臉書才將該漏洞修補完成。

臉書也同時統計受到此漏洞影響的用戶數,目前已知至少有5,000萬個臉書帳戶受影響,若以單日臉書活躍用戶10億人估算,這也意味著,平均每100人就有5人擁有的個人臉書帳戶,可能已遭到駭客挾持。

臉書執行長祖克柏也親自在個人臉書發文表示,目前已採取多項緊急補救措施,首先是已將該漏洞修補完成,以防止駭客竊取更多用戶個資;其次,是針對這些受影響的臉書帳戶存取token進行全面重置,因此,部分用戶會被自動登出,必須要重新輸入密碼才能再次登入。另外也暫時關閉View As功能,並且他也強調,基於安全起見,針對漏洞開採期間,曾使用View As功能的臉書用戶,接下來也將會強制要求他們登出,以確保安全。預估至少還有4,000萬名,或甚至更多用戶,之後都需要重新登出再登入。

不過,祖克柏也坦承,目前無法得知這些受駭帳戶的個資,是否已遭到駭客利用。臉書也表示,目前仍在調查初期階段,相關安全單位仍在持續調查,有無其他潛在重大安全漏洞,仍未被發現。

然而,距離今年4月臉書8,700萬個資洩漏風波,僅過不到半年,歷經了營收、用戶成長放緩,以及股價重挫等多重打擊,如今爆出的重大漏洞攻擊事件,對臉書無疑是雪上加霜。

 


Advertisement

更多 iThome相關內容