根据Facebook的说法,此次的攻击漏洞已被修复。公司表示,攻击者可以看到受害者个人资料中的所有内容,但目前尚不清楚私人消息是否泄漏以及相关数据是否被滥用。Facebook的产品管理副总裁Guy Rosen表示,针对此次安全事件,公司采取了三项措施。首先,Facebook修复了漏洞并通知了相关执法部门。其次,为了保护受影响的近5000万个用户的账户安全,公司重置了他们的登录信息。为了预防其它账户受到影响,公司对去年受到查看的另外4000万个账户的登录信息也进行了重置,也就是说,目前大约有9000万用户需要重新登录Facebook及与其账号相关联的应用程序。重新登录后,用户会在新闻页面的顶部了解到具体发生了什么。最后,Facebook正在进行彻底的安全审查,在此期间,将暂时关闭“查看”功能。
于2018年9月28日下午1:08进行安全更新,图中包含新的通知图标。
Facebook表示,受影响的用户重新登录后会在新闻页面的顶部看到如下消息:您的隐私和安全对我们极为重要,我们希望您能知晓我们为保护您的账户做出的努力。如果您想了解更多,可继续查看。如果您的账户未被重置,但您希望采取相关安全预防措施,您可以通过此页面查看您的账户的当前登录位置,并退出登录。
目前,Facebook尚未确定目标黑客,也无从得知他们来自哪里。周五,Guy Rosen在接受记者采访时表示:“我们可能永远都无法得知这些黑客是谁,我们正在努力弄清楚这些细节,如果我们获得了更多信息,或者事情有所转机,我们会及时更新帖子。此外,一旦我们发现有更多的账户受到影响,我们会立即重置其访问权限。”Facebook正在与联邦调查局合作寻找攻击者。一位名叫张志远的台湾黑客在本周早些时候曾妄言要删除马克·扎伯格的Facebook帐户,但Rosen表示目前无法得知该黑客是否与此次袭击有关联。
Lukasz Olejnik是一位安全和隐私研究员,同时也是万维网联盟技术架构组的成员,他说:“如果攻击者利用了自定义且孤立的漏洞,那么此次攻击便极具针对性,调查人员就很难利用追踪技术或者合理的逻辑将这些点连接起来。”
在同一个电话采访中,Facebook首席执行官马克·扎克伯格重申了他之前关于安全是“军备竞赛”的观点。他说:“这是一个非常严重的安全隐患,我们一定会认真对待这个问题。同时,我们及时发现并且修复了这一漏洞,保护了大家的账户安全,这让我感到欣慰,但我们无法否认这个问题的的确确发生了。”
Facebook称,公司的调查开始于9月16日,在那天,访问Facebook的用户数量激增,这有违常态。9月25日,该公司的工程团队发现,黑客貌似利用了一系列与Facebook功能相关的漏洞,让每个人都可以看到其他用户的全部个人资料。而“查看”功能原本可以让用户区分隐私以及对他人可见的内容。
以下是有关上述安全问题的一些技术细节。本周早期,我们发现有外部人员攻击了我们的系统并利用了其中的漏洞,当我们检查“查看”功能的特定组件时,我们发现该漏洞会让用户的访问权限在HTML中公开。该漏洞是三个不同漏洞相互作用的结果:第一个漏洞使得Facebook的视频上传工具图标错误地出现在“查看”页面上;第二个漏洞使得视频上传者可以获得访问许可,即允许Facebook帐户在设备上保持登录状态,而无需每次访问时重新登录,这便获得了与Facebook移动应用程序一样的登录权限;最后,当视频上传者进入“查看”页面时,就会提供黑客寻找的用户访问代码,于是该上传者就在不知不觉中泄露了自己的登录信息。
Rosen说:“这是多个漏洞复杂交互的结果,能做到这样的黑客,水平也达到了一定程度。”
他表示,这也解释了周五早上用户为什么会退出登录。公司在去年重置了一些直接受影响的账户以及部分其它账户的登陆许可,这些账户的“查看”功能曾被改为全部可见。为了继续调查该事件,Facebook暂时关闭了“查看”功能。
网络安全公司TrustedSec的首席执行官David Kennedy说道:“安全检测看似很容易捕获这一问题,实则不然,除非在网站运行过程中实时动态检测网站,否则这类安全漏洞十分隐晦,难以发现。”
2016年美国总统大选之后,Facebook未发现针对俄罗斯的大规模虚假宣传活动,随后Cambridge Analytica又在Facebook不知情的情况下收集了该公司的用户数据,当Facebook的高管们还在这一系列丑闻中挣扎时,这次的漏洞事件无异于雪上加霜。
Facebook已经面临多项关于隐私和数据分享问题的联邦调查,其中包括联邦贸易委员会以及美国证券交易委员会的两项调查,这两项调查均与剑桥分析事件有关。
在一系列偶有争议的有关数据隐私的听证会之后,Facebook面临着国会更加严格的监管。周五,在Facebook宣布这次事件之后,参议院情报委员会副主席参议员Mark Warner提出对此次违规行为要进行“全面调查”,他在一份声明中表示:“今天的数据泄露提醒人们,Facebook或信用咨询公司Equifax等一小部分公司在没有足够安全措施的情况下掌握着如此多的美国人的个人数据,这是一件多么危险的事。这同时警醒国会需要加强并采取相关措施保护社交媒体用户的隐私和安全。”
除此之外,Facebook在欧洲也可能面临前所未有的审查,新的通用数据保护法规(GDPR)要求公司在事发后72小时内向欧洲有关部门上报相关信息。法规还要求公司在用户面临高风险的情况下,直接向用户通报相关内容。Facebook表示,公司已经向爱尔兰数据保护委员会通报了该问题。
这已经是Facebook在近几个月里出现的第二个安全漏洞。今年6月,Facebook发现了第一个漏洞,这个漏洞使得1400万人的帖子可以被任何人查看,这是Facebook历史上第一次面临全部用户账户被黑客攻陷的危机。Facebook对漏洞的处理,以及对关键信息披露的速度和全面性,在此次事件中显得尤为重要。如今,马克·扎克伯格再一次被推上了风口浪尖。
