示意圖,與新聞事件無關。

圖片來源: 

臉書

臉書(Facebook)在上周五(10/12)公布了駭客入侵該站的初步調查結果,指出總計有3,000萬名用戶的存取權杖(Access Token)遭駭客竊取,當中有2,900萬名用戶的個資外洩。

根據臉書產品管理副總裁Guy Rosen的說明,臉書是在9月14日察覺異樣並展開調查,在25日確認是遭到攻擊,也發現駭客所利用的漏洞是由3個臭蟲所組成,允許駭客藉由「檢視角度」(View As)功能竊取臉書的存取權杖。此一存取權杖是用來維持臉書用戶登入狀態的數位金鑰,以在造訪臉書時不必再重新輸入密碼。

「檢視角度」是用來讓用戶檢查自己的個人檔案從某位友人看起來是什麼樣子的功能,它應該是一個「唯看」(view-only)介面,卻不小心容許影片的張貼;接著則是臉書在去年7月更新的影片上傳工具錯誤地產生了一個擁有Facebook行動程式授權的存取權杖;而當此一影片上傳工具成為「檢視角度」的元件時,它所產生的存取權杖並非是提供給執行「檢視角度」的用戶,而是提供給該位友人。

駭客不只找到了上述臭蟲,利用它們取得了存取權杖,還轉移到其它的帳號以竊取更多權杖。

臉書在兩天內就修補了該漏洞,同時重置9,000萬個可能受到影響的存取權杖,使得這些用戶在9月28日被強制登出。

上周臉書揭露了駭客的手法,指出駭客先控制了一部分的帳號,利用自動化技術竊取這些帳號的友人,以及友人的友人的存取權杖,證實駭客最終竊取了3,000萬名用戶的存取權杖。其中1,500萬名用戶的姓名與聯絡資訊遭到駭客存取,如電話號碼或電子郵件,另外的1,400萬名用戶所外洩的資料除了姓名與聯絡資訊外,還包括其它列在個人檔案上的資料,從使用者名稱、性別、地區、關係狀態、宗教、生日到他們所追隨的對象與最近15筆的搜尋,而另外的100萬名用戶則未被駭客存取任何資訊。

Rosen表示,他們已關閉了「檢視角度」功能,並與FBI合作展開調查,FBI並要求臉書不要對外討論攻擊來源。

臉書用戶只要造訪該站的Help Center並拉至頁面下方,就能檢查自己是否為此波攻擊的受害者,若答案是肯定的,頁面上則會顯示使用者的哪些資料已遭駭客存取,同時提供建議措施。


Advertisement

更多 iThome相關內容