Facebook(纳斯达克股票代码:FB)工程师于9月25日发现的安全漏洞使攻击者可以直接控制用户帐户;其中大约有5000万是准确的。
最新的Facebook安全漏洞
除了5000万之外,Facebook还表示还有另外4000万个账户可能存在漏洞。总而言之,该公司注销了9000万个账户,以防止进一步的损害。
$config[code] not found在安全更新中,Facebook承认攻击能够利用其代码中多个问题的复杂交互。这是因为该公司在2017年7月对其视频上传功能进行了更改,影响了“查看为”功能。
Facebook表示,“攻击者不仅需要找到此漏洞并使用它来获取访问令牌,他们还必须从该帐户转向其他人才能窃取更多令牌。”
对于Facebook来说,这次攻击不可能是更糟糕的时刻。该公司正试图在即将到来的中期选举之前加强其安全性,同时试图从剑桥分析中心的惨败中恢复,其中约有8700万用户的数据与政治咨询机构共享。
视图功能
“查看为”功能允许用户查看个人资料对其他人的看法。
攻击者能够利用“查看为”功能中的三个漏洞或错误。在同一安全更新中,工程,安全和隐私副总裁Pedro Canahuati列出了以下缺陷:
- 查看错误地提供了发布视频的机会。
- 2017年7月推出的新版视频上传器(将作为第一个错误导致的界面)错误地生成了具有Facebook移动应用程序权限的访问令牌。
- 当视频上传器作为View As的一部分出现时,它为查看器生成了访问令牌,但是对于查看者正在查找的用户。
Facebook表示在进行安全审查时暂时关闭了View As功能。
欺骗Facebook发布访问令牌
有了这个漏洞,攻击者就可以欺骗Facebook向他们发放访问令牌。这使他们可以像访问用户一样访问用户帐户。
他们还可以访问用户可能使用Facebook注册的服务,例如Airbnb,Spotify,Tinder或其他应用和游戏。
Facebook已经重置了受影响的5000万个帐户的访问令牌以及可能容易受到攻击的额外4000万个帐户。
如果您的帐户是受此事件影响的9000万人之一,系统将提示您重新登录Facebook和任何关联帐户。
谁是负责的人?
在电话会议中(PDF)Facebook产品管理副总裁Guy Rosen表示,该公司已通知执法部门并正在与FBI合作。
至于谁负责,罗森接着说很难发现谁是这次袭击的幕后黑手,加上“我们可能永远不会知道”。
图片:Facebook
3评论▼