社交網(wǎng)絡(luò)巨頭Facebook本周公布了其系統(tǒng)遭受攻擊的更多細(xì)節(jié)，據(jù)稱該系統(tǒng)通過令牌操作能夠暴露用戶的個(gè)人詳細(xì)信息。不過目前已將受影響用戶范圍從5000萬縮減到3000萬。

[[246231]]

Facebook于9月25日發(fā)現(xiàn)遭到攻擊，并于上月底宣布了這一漏洞：Facebook的“僅查看(view-only)”系統(tǒng)存在缺陷，此系統(tǒng)允許用戶查看其個(gè)人資料和其他網(wǎng)頁，就好像是其他用戶在瀏覽一樣。而攻擊者則其中漏洞逐步獲取任意用戶帳戶令牌的訪問權(quán)限 - 允許他們?cè)L問所謂的私人信息，而無需知道與所述帳戶相關(guān)聯(lián)的密碼。

當(dāng)時(shí)，F(xiàn)acebook產(chǎn)品管理副總裁蓋伊羅森表示，此漏洞暴露了大約5000萬用戶帳戶，另有4000萬用戶可能因使用“僅查看”功能而暴露出來?，F(xiàn)在正將這一估計(jì)數(shù)量減少到大約3000萬，實(shí)際上這些人的令牌已經(jīng)被盜了。

首先，攻擊者已經(jīng)控制了一組賬戶，這些賬戶與Facebook上的好友有關(guān)。他們使用自動(dòng)遷移技術(shù)從帳戶轉(zhuǎn)移到另一帳戶，這樣他們就可以竊取更多好友的訪問權(quán)限，以及這些好友的朋友等等，總共涉及約有40萬實(shí)際用戶。其中包括時(shí)間軸上的帖子、他們的朋友列表、他們所屬的群組以及最近的Messenger對(duì)話名稱。雖然消息內(nèi)容不可用于攻擊者，但有一個(gè)例外，即如果此組內(nèi)的某人是頁面管理員的話。

隨后攻擊者利用這40萬人好友名單中的一部分來竊取大約3000萬人的訪問權(quán)限。對(duì)于其中1500萬人來說，攻擊者訪問了兩組信息：姓名和聯(lián)系方式(電話號(hào)碼、電子郵件)。對(duì)于另外1400萬人來說，攻擊者則能夠訪問到更多的個(gè)人信息，包括用戶名、性別、區(qū)域/語言、關(guān)系狀態(tài)、宗教、家鄉(xiāng)、所在城市、出生日期、教育、工作、用于訪問Facebook的設(shè)備類型、他們簽入或標(biāo)記的最后10個(gè)地方/網(wǎng)站，以及他們關(guān)注的人或頁面以及最近的15次搜索等等。

雖然遭受此等大規(guī)模信息泄露的攻擊事件，并不是什么光彩的事，但像Facebook這樣敢于及時(shí)公開并提醒用戶注意的公司并不多見，當(dāng)然也許是為了避免通用數(shù)據(jù)保護(hù)條例(GDPR)的重罰。但無論怎么說，對(duì)于攻擊事件的快速響應(yīng)，并站到用戶角度及時(shí)給予解決，仍是比較積極的。