Facebook也因Java漏洞而被駭

Facebook上周證實，該站系統於今年1月成為駭客攻擊的目標，但使用者資料並未受到影響。

被入侵的原因是Facebook有少數工程師造訪了一個已被駭客入侵的行動開發人員網站，就算這些工程師的筆電安裝了最新的修補程式與防毒軟體，仍被植入惡意程式。

Facebook有一個專門偵測威脅並隨時監控系統是否受到攻擊的團隊，此次他們是在企業的DNS紀錄中察覺了一個可疑的網域，進而追蹤到員工的筆電上，才發現筆電上的惡意檔案，然後進行全面的搜查，找出被感染的多台筆電。

在分析這些工程師所造訪的行動開發人員網站後，顯示駭客是利用零時差漏洞繞過了Java沙箱來安裝惡意程式，Facebook馬上通報甲骨文，甲骨文則已於今年2月1日提前釋出的Java SE重大更新修補了該漏洞。

駭客並非透過傳統的網釣技巧來進行攻擊，而是先感染合法的網站或伺服器，再駭進這些造訪網站的使用者。

Facebook安全長Joe Sullivan向媒體表示，該惡意程式企圖進入Facebook的生產環境，但駭客只窺得某些系統，而且未能取走資料，主要是位於筆電上的資料被竊取，像是企業資料、電子郵件或程式碼等。

此外，Facebook在追蹤惡意程式命令伺服器的流量時，發現該站並不是唯一受害的業者，還有其他公司同樣也遭受攻擊，但Facebook並未公布其他受害名單。（編譯/陳曉莉）