Facebook再次因數(shù)據(jù)泄露問題被推上風(fēng)口浪尖，這一次是因為黑客攻擊。

“這是個非常嚴(yán)重的安全問題。”扎克伯格如此描述本周五Facebook在視頻上傳功能上遭受到的的攻擊。并透露，至少5千萬用戶的隱私數(shù)據(jù)因此受到威脅。

Facebook股價應(yīng)聲下跌。

就在剛剛，F(xiàn)acebook發(fā)表聲明，該公司網(wǎng)絡(luò)被黑客攻擊，大約5000萬用戶的隱私數(shù)據(jù)有泄露風(fēng)險。

Facebook表示，他們在本周發(fā)現(xiàn)了這一數(shù)據(jù)泄漏。攻擊者利用代碼中的某一功能(見后文)得到了用戶的賬號信息。周五早些時候，F(xiàn)acebook采取常見的數(shù)據(jù)泄漏發(fā)生時的安全措施，超過9000萬用戶被強制要求退出登錄狀態(tài)。

與此同時，F(xiàn)acebook表示該安全漏洞已被修復(fù)，并已報告執(zhí)法人員。然而，F(xiàn)acebook說他們目前還不清楚攻擊者的身份，也不清楚攻擊的具體范圍，相關(guān)調(diào)查剛剛起步。

Facebook的CEO馬克·扎克伯格在和記者的電話會議中說，“我們在很嚴(yán)肅地處理這件事情。我很慶幸我們發(fā)現(xiàn)了漏洞，但首先這是個非常嚴(yán)重的事件。”

前文中所提到的，被攻擊者利用的功能叫做“檢視角度”(View As)，通過這一功能，用戶可以從其他人的角度閱覽自己的檔案。這一功能的本意是為用戶提供更完善的隱私管理。

Facebook表示，F(xiàn)acebook于2017年7月推出的視頻上傳功能存在缺陷。該漏洞允許攻擊者獲取“訪問token(access tokens)”，也就是允許訪問帳戶的數(shù)字密鑰。

攻擊何時發(fā)生的尚不可知，但據(jù)了解是在視頻上傳項目開始后。

據(jù)美國媒體cnet報道，本次的攻擊者通過一系列步驟侵入，并為數(shù)百萬Facebook用戶創(chuàng)建訪問令牌。他們首先查看那些可以使用另一個用戶訪問的Facebook個人資料。

此時，用戶的Facebook賬戶有時會出現(xiàn)發(fā)布生日視頻的入口。據(jù)Facebook稱，這一功能偶爾會有一個bug出現(xiàn)，讓黑客能夠針對目標(biāo)用戶生成訪問令牌，使他們能夠訪問用戶的帳戶信息。

使用訪問令牌，黑客可以控制用戶的帳戶。然后他們可以進行下一個，并重復(fù)該過程并為該用戶生成訪問令牌。

此次襲擊事件發(fā)生之前，F(xiàn)acebook已經(jīng)面臨著巨大的輿論壓力。在今年3月廣受詬病的“數(shù)據(jù)門“事件--劍橋分析公司丑聞”后，人們對于Facebook是否正確使用掌握的大量用戶數(shù)據(jù)持續(xù)質(zhì)疑，該公司面臨聯(lián)邦監(jiān)管。

[[245286]]

Facebook面臨的主要挑戰(zhàn)之一，就是說服用戶這個公司可以負(fù)責(zé)任地處理大量數(shù)據(jù)。目前，每月有超過20億人使用Facebook和該公司的即時通訊工具WhatsApp以及Instagram。

“我們有責(zé)任保護您的數(shù)據(jù)，如果我們不能，那么我們就不值得為您服務(wù)，”扎克伯格先生今年在一份關(guān)于Cambridge Analytica的聲明中表示。

甚至在周五的披露之前，F(xiàn)acebook已經(jīng)陷入了對其數(shù)據(jù)共享和隱私實踐的多次聯(lián)邦調(diào)查。美國證券交易委員會已開始調(diào)查該公司有關(guān)Cambridge Analytica事件的陳述。

Facebook堅稱它已經(jīng)與第三方制定了嚴(yán)格的數(shù)據(jù)共享政策，并縮減了能與開發(fā)商分享的數(shù)據(jù)量。在審計和Facebook相關(guān)的數(shù)千個外部應(yīng)用程序后，該公司暫停了對400多個第三方應(yīng)用程序的訪問權(quán)限。

在周五的電話會議上，F(xiàn)acebook產(chǎn)品管理副總裁蓋伊·羅森(Guy Rosen)拒絕透露攻擊者來自哪個國家。他說這次襲擊是“復(fù)雜的”，并且在Facebook的代碼中利用了三個獨立錯誤。

黑客還試圖從Facebook的系統(tǒng)中收集人們的私人信息，包括姓名，性別和家鄉(xiāng)。

Facebook前首席安全官亞歷克斯•斯塔莫斯(Alex Stamos)8月離開了Facebook去斯坦福大學(xué)任教，之后Facebook一直在改組安全團隊。他們希望安全團隊的成員不只是作為獨立單元存在，而可以和整個公司的產(chǎn)品團隊更緊密地合作。該公司表示，此舉旨在將安全性融入Facebook產(chǎn)品開發(fā)的每一步。

國會議員立即抓住最新的違規(guī)行為批評Facebook。

“這是另一個令人警醒的跡象，國會需要采取行動保護社交媒體用戶的隱私和安全，”來自弗吉尼亞州的民主黨參議員馬克華納(Mark Warner)在Facebook 上發(fā)表了這樣的聲明，“Facebook應(yīng)該迅速地進行全面調(diào)查并公布相關(guān)信息，只有這樣我們才能弄清楚到底發(fā)生了什么。”值得一提的是，這位參議員是Facebook 最有爭議的批評者之一。

事件發(fā)生后，Mark Zuckerberg和Facebook官方也第一時間在FB發(fā)布了貼文來解釋本次事件的緣由以及Facebook正在進行的相關(guān)措施，以下是部分內(nèi)容：

我們昨晚修補了這個問題，并正在采取預(yù)防性措施控制影響范圍。我們還在調(diào)查，下面是我們已經(jīng)發(fā)現(xiàn)的內(nèi)容：

本周二(9月25日)，我們發(fā)現(xiàn)攻擊者利用技術(shù)漏洞竊取訪問令牌，這將允許他們登錄Facebook上大約5000萬人的帳戶。

我們還不知道這些帳戶是否被濫用，但我們會繼續(xù)研究這個問題，并會在我們有所發(fā)現(xiàn)時向大家分享更多信息。

為了解決這個問題，我們已經(jīng)采取了下面這些的措施：

• 我們修補了代碼安全漏洞，以防止此攻擊者或者其他任何人竊取額外的訪問令牌。我們使5000萬受影響人員的賬戶訪問令牌無效—導(dǎo)致他們被注銷。這些人必須重新登錄才能再次訪問其帳戶。我們還會在他們的新聞Feed上通過消息通知這些人他們重新登錄時發(fā)生的事情。
• 作為一項預(yù)防措施，我們暫時取消了和安全漏洞相關(guān)的功能，直到我們能夠?qū)ζ溥M行全面調(diào)查并確保其中沒有其他安全問題為止，盡管我們認(rèn)為已經(jīng)解決了這個問題。該功能稱為“檢視角度”，它是一個隱私工具，可讓您了解自己的個人資料在其他人看來是怎樣的。
• 作為一項額外的預(yù)防措施，我們還會強制讓漏洞出現(xiàn)之后所有使用過相關(guān)功能的用戶登出Facebook。這將影響到另外4000多萬人，這些用戶需要重新登錄。目前，沒有任何證據(jù)表明這些帳戶信息已被泄露，但我們?nèi)詴扇∵@樣的預(yù)防措施。

參考資料：

• https://www.nytimes.com/2018/09/28/technology/facebook-hack-data-breach.html
• https://www.cnet.com/news/facebook-breach-affected-50-million-people/
• https://newsroom.fb.com/news/2018/09/security-update/

【本文是51CTO專欄機構(gòu)大數(shù)據(jù)文摘的原創(chuàng)文章，微信公眾號“大數(shù)據(jù)文摘( id: BigDataDigest)”】

戳這里，看該作者更多好文