社群龙头 Facebook 在 9 月底爆发成立以来最大的骇客入侵事件,当时预估骇客偷取 5,000 万名使用者资料。事件过去两周,12 日 Facebook 发布最新公告,修正受影响的使用者数量为 3,000 万人,并说明骇客是如何入侵,以及受影响的使用者究竟被偷取哪些个资。
Facebook 表示,骇客利用一个从 2017 年 7 月就存在程式中的漏洞进行攻击,这个漏洞与个人页面中的“检视角度”(view as)有关,骇客利用此偷取“存取权杖”(access tokens),也就是使用者以 Facebook 账号登入 Facebook 或第三方应用程序时,应用程序取得的虚拟身份认证代码,允许使用者不用每次开启程式时都要重新输入账号密码。
而在偷取“存取权杖”后,骇客可以看到使用者个人讯息。共计有约 3,000 万使用者受影响,其中 1,500 万使用者被骇客存取“名字”和“联络资料”,联络资料可能是电话或电子邮件信箱,或两者,端看使用者留下哪个;1,400 万使用者被存取“名字”、“联络资料”,以及个人资料页公开和非公开的讯息,包含性别、语言、感情状态、家乡、就学经历、工作经历、最近 10 个打卡地点、追踪的人和粉丝页、最近 15 个搜寻纪录等;另有 100 万使用者并没有被存取任何资料。
骇客偷取这些使用者个资后,可能会伪装成 Facebook 官方、钓鱼网站、诈骗中奖讯息、亲朋好友,以入侵使用者电脑或做其他犯罪行为。
Facebook 会在接下来的 30 天内,向受影响的 3,000 万使用者发布客制化讯息,说明哪些资料可能被骇客存取,以及该提防的诈骗方式。同时自事件发生后,Facebook 已暂时关闭“检视角度”功能。
这起骇客攻击并没有偷取到使用者的密码,也没有从以 Facebook 账号登入的程式中获取任何资料,Facebook 相关的服务包含 Messenger、Instagram、Whatsapp、Oculus、Workplace 等,也都没受影响。
虽然调查已经有初步结果,但 Facebook 仍持续与 FBI、美国联邦贸易委员会以及其他政府机构合作,调查骇客的身份。
- An Update on the Security Issue
- The Verge : Facebook hacker accessed personal details for 29 million accounts
(首图来源:Facebook)
