Facebook的3個Bug 禍害了 5000 萬用戶！

隱私安全戰正在打響！

當美國國會參議院商務委員會邀蘋果、亞馬遜、谷歌、Twitter、AT&T 等美國知名科技巨頭共同召開一場有關保護數據隱私的聯邦立法聽證會時，隔壁的 Facebook 卻再次被掀了老底，因自身應用的安全漏洞，導致 5000 萬用戶賬號泄露，可被黑客控制。對此，網友們大呼：小扎，你可長點心吧！否則 Facebook 真的要「非死不可」啦。

圖片來源：The wired

在剛剛過去的一天，Facebook 官方發布了一篇博文，表示其工程團隊發現了一個自創立 14 年以來最大的漏洞，黑客可利用 Facebook 應用中的「View As」這一功能代碼的 Bug 來訪問近 5000 萬用戶賬號並完全控制它們。消息一出，各路網友再次炸鍋，因為這真的已經記不清是 Facebook 的第幾次數據泄露了，所以，這一次究竟又是怎麼一回事？

三重 Bug 疊加導致的 5000 萬數據泄露

基於此，Facebook 工程、安全及隱私副總裁 Pedro Canahuati 在經查證後，向用戶透露出了更多的技術細節，他表示該漏洞是因為三個不同的 Bug 相互影響所導致的結果：

View As 是一種隱私功能，可以讓用戶看到他們自己的個人資料在 Facebook 平台其他用戶眼中是怎樣的，簡而言之，是通過其他用戶的身份查看自己的資料。View As 本來應該僅是一個查看的界面，但是這個頁面中現在為一些人提供發布視頻以及帖子的機會，例如當博主過生日的時候，朋友可以通過該頁面上傳生日祝福的帖子或視頻，在此過程中，上傳視頻的用戶也會出現在該頁面中。

2017 年 7 月，Facebook 在推出視頻上傳器的新版本（即上文所述的將上傳者顯示在 View As 的頁面中）時，導致上傳者生成了具有 Facebook 移動應用程序許可權的訪問令牌（access token）。

當視頻上傳者作為 View As 界面的一部分呈現時，它不是為查看者生成訪問令牌，而是為了那些你正在搜索的用戶生成了訪問令牌。

這意味著，潛藏的漏洞蟄伏已久，卻一直未發現。如今正是這三個 Bug 的連續組合，導致用戶使用「View As」功能時，攻擊者可以將訪問令牌提取，並以另一重用戶身份去登錄，從而接管控制用戶的賬號。

毫無疑問，Facebook 本來的功能設計研發過程中就早已出現了問題，卻並未在第一時間解決。對此，國內的微博研發副總經理 TimYang 也從技術角度為我們解析了一波，並為諸多從業的工程師敲響了警鐘。

化被動為主動，Facebook 再道歉

對於這一數據泄露事件的爆出，要真的追究起來，其實也並非 Facebook 官方工程團隊率先發現，而是黑客。在 9 月 16 號這一天，Facebook 監控到用戶活動大增，才察覺到異常。

對此，來自 Trail of Bits 公司的安全研究員 Ryan Stortz 表示，Facebook 本應該在黑客之前找到這個 Bug 的。「畢竟 Facebook 擁有一套完整的 API 過濾器，他們可以通過它來知曉所有賬戶更改（寫入）情況。」

不過一位曾於 2012 - 2016 年，任職 Facebook 的安全工程師 Zac Morris 表示這個漏洞並不容易發現。因為「View As」功能已經上線多時，存在 Bug 也不足為奇。

針對這一事件的發生，Facebook 表示深感抱歉，之所以，現在主動公布出來，是想告知每位用戶 Facebook 發生了什麼以及為隱私安全起見，已在第一時間採取了以下行動：

修復了漏洞並通知了執法部門協助調查。

重置了受影響的近 5000 萬個賬戶的訪問令牌。此外，還採取了預防措施，重置了去年受到「View As」查詢功能影響的另外 4000 萬個賬戶的訪問令牌。因此，目前大約有 9000 萬人需要重新登錄 Facebook 或任何用 Facebook 登錄的應用程序。重新登錄後，用戶會在 Feed 流頂部收到通知。如下所示：

Facebook 在進行徹底的安全審查期間，暫時關閉了「View As」功能。

同時 Facebook 也表示，黑客並未竊取密碼，因此用戶沒有必要更改密碼。但如果無法重新登錄 Facebook 的用戶，如忘記密碼，可訪問幫助中心找回密碼。

小扎個人的 Facebook 賬號也要不保？

因「數據泄露門」事件的再次發酵，Facebook 股價應聲下跌，到收盤時下跌 2.59% 報 164.46 美元，盤中一度觸及 162.56 美元的低點。不僅如此，據彭博社報道，一位小有名氣且擁有 2.6 萬粉絲的「白帽子」黑客還揚言要在周末舉辦一場刪除 Facebook CEO 扎克伯格個人賬號的直播。

據了解，這位名叫「Chang Chi-yuan」是一位來自中國台灣的黑客。從他的個人介紹來看，他曾於 2016 Line Corp「除蟲獎賞名人堂」中被列為「特殊貢獻者」。不過，他也經歷過一些小坎坷，據說因為入侵交通系統、只花 1 元新台幣（約 3 美分）購買了一張車票，而被當地公交公司給提告了。同時，這位「白帽」還公布了 Facebook 對其漏洞報告的回應函截圖。

不僅如此，Chang Chi-yuan此前還寫過利用黑客技術來掙錢的文章。Facebook 有一個持續的「除蟲獎賞」計劃，宣稱會在認定後、向主動彙報其服務漏洞的安全研究人員發放獎勵。

不過就 Facebook 扎克伯格的賬號，很多黑客都表達了強烈的興趣。甚至早在 2011 年，一名黑客就成功竊取了扎克伯格的賬號，並更新了狀態。

目前據最新消息，這位年僅 24 歲的小伙已經放棄了刪除扎克伯格 Facebook 賬號的直播，並在 Facebook 上發文表示：

這次不應該真的拿 Zuck 的賬號做實驗和證明實力。

不過這並不意味著其他用戶不再追究，目前已有美國加州用戶對Facebook 提起訴訟：

由於 Facebook 代碼中的一個漏洞，黑客和其他不法用戶可以接管用戶賬號，並竊取個人信息以達到令人討厭和非法的目的。

與此同時，不少網友還掀起一股「刪除 Facebook」行動，甚至貼出了刪除的教程：

在刪除 Facebook 之前，首先要從 Facebook 下載此前的記錄，即包含照片、活動會話、聊天記錄、IP 地址、面部識別數據的 Facebook 檔案包，步驟如下：「設置」-「常規帳戶設置」-「下載 Facebook 數據副本」，然後單擊「啟動我的存檔」。

下載完文檔後，就可以刪除賬戶了。

流年不利的 Facebook 2018

回顧 Facebook 的成長曆程，如同其創始人扎克伯格一樣傳奇。

出身於 1984 年的扎克伯格，在 10 歲那年就擁有了屬於自己的電腦，從中學時期，在父親愛德華的教導下開始學習 Atari Basic Programming，後來由專業的軟體研發者 David Newman 正式教授代碼。

高中時，被稱之為「神童」的扎克伯格就已經開發出了好幾款應用程序，如 ZuckNet 應用，可讓父親在家裡與牙醫診所交流；Synapse Media Player 音樂程序，藉由人工智慧來學慣用戶聽音樂的習慣。在畢業之後，扎克伯格選擇進入哈佛大學深造，而深造的並不是他最愛的程序設計，而是心理學，因為或許在他看來，彼時的他已經不用任何人來教授編程了。

此後於 2004 年，以實力說話的扎克伯格用不到一周的時間就開發出了如今享譽世界的社交網站 Facebook，且用了一年不到的時間，讓註冊人數就突破了 100 萬人，由此，扎克伯格也理所當然地從哈佛退學，全職運營起自己的網站。而 Facebook 在其領導下，一路飆升，越做越大：

2005 年 5 月，Facebook 獲得 AccelPartners 的 1270 萬美元風險投資。

2007 年 7月，Facebook 完成了第一次對其他公司的收購，從 Blake Ross 和 JoeHewitt 手中收購了 Parakey。

2010 年，Facebook 趕超雅虎成為全球第三大網站，與微軟谷歌領銜前三。

2014 年，Facebook 宣布以 20 億美元的總價收購沉浸式虛擬現實技術公司 Oculus VR。

2015 年，Facebook 收購了自然語言軟體廠商 Wit.ai、開發視頻內容發布設備的 QuickFire Networks。並於 8 月 28 日，單日用戶數突破 10 億。

最終，向來順風順水的 Facebook 在 2018 年這一年中，掉入了無數次的懸崖。而上文所述的近 9000 萬數據重置訪問令牌對於 Facebook 來說，並不是最糟糕的時刻。

今年 3 月，Facebook 被爆出，一家英國戰略交流實驗室公司（SCL）和劍橋分析公司通過關聯 Facebook 登錄的第三方應用，竊取了高達 8700 萬用戶的隱私信息，以至於 Facebook 一度被質疑因其平台上的虛假信息直接影響了美國總統選舉。

後來，在沉默了五天之後，扎克伯格親自出面道歉，並承諾：

「保護用戶數據和隱私是 Facebook 的責任，如果我們做不到這點，我們就沒有為您服務的資格。我正在抓緊時間消化到底發生了什麼而且如何防止類似事件再發生。好消息是，我們早在幾年前就已經著手投入防止類似用戶數據泄密的技術開發之中。不過，我們也在犯錯誤，我們需要做得更好更多。」

萬萬沒想到，一波未平一波又起，沒過多久，Facebook 又再次被爆出至少向包括蘋果、亞馬遜、微軟和三星在內的 60 家手機和其他設備製造商開放了訪問許可權，允許他們訪問大量的用戶數據，並以這些數據共享協議來幫助自己成為社交媒體服務的霸主。

如今看來，面對一次又一次的數據泄露，Facebook 接連14 年的道歉與承諾還是用上了那句老話，太美的承諾還是因為太年輕。

參考：

https://newsroom.fb.com/news/2018/09/security-update/

https://motherboard.vice.com/en_us/article/bja7qq/how-50-million-facebook-users-were-hacked

https://www.bloomberg.com/news/articles/2018-09-28/indie-hacker-declares-he-ll-live-stream-an-attack-on-zuckerberg

https://www.theverge.com/2018/9/28/17913178/facebook-live-mark-zuckerberg-taiwanese-hack-chang-chi-yuan

https://www.cnbeta.com/articles/tech/772845.htm

微信改版了，

想快速看到CSDN的熱乎文章，

趕快把CSDN公眾號設為星標吧，

打開公眾號，點擊「設為星標」就可以啦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！