Facebook現史上最大漏洞，但最可怕的是你習慣了被泄露

屋漏偏逢連夜雨。5天前，Facebook旗下Instagram的兩位聯合創始人被傳因和Facebook的CEO扎克伯格（Mark Zuckerberg）不和，雙雙離職。28日，Facebook又爆出史上最大規模信息泄露事件，近5000萬用戶賬號遭到攻擊，面臨被黑客盜號的風險。沒錯，又是Facebook，又是數據泄露，不少人似乎已經習慣了，看到類似新聞的反應是：已閱，右上角關閉。面對如此現狀，《大西洋月刊》忍不住用一篇評論，敲醒數據時代那些對信息泄露見怪不怪，只知圍觀的人。

這一次，不止密碼被盜那麼簡單

根據Facebook28日透露的消息，公司工程師25日發現了一個安全漏洞：黑客可以通過攻擊「查看為」（View As）功能中的漏洞，獲取數字秘鑰，進而掌控用戶的賬戶。據Facebook稱，「查看為」是一項隱私功能，允許人們預覽自己的個人資料在其他用戶處的顯示界面（類似可見許可權，如你的朋友、朋友的朋友，或陌生人查看你的資料時，顯示的內容是不同的）。攻擊者正是發現了該功能中的多個漏洞，竊取了Facebook訪問標識——能讓用戶在瀏覽器或App上保持登錄，不必重複輸入密碼的數字秘鑰。

擁有數字秘鑰，等於是完全掌控了用戶的賬號，包括可以用Facebook賬號在第三方應用（如愛彼迎AirBnB、約會軟體Tinder等）上登錄。Facebook承認，近5000萬用戶成為此次安全漏洞的受害者，就連Facebook創始人扎克伯格和公司首席運營官桑德伯格（Sheryl Sandberg）也未能倖免。BBC報道稱，Facebook不會公布「受害」的5000萬用戶具體分布在何地，但可以確認的是，Facebook已就此事通知了位於其歐洲子公司所在地的愛爾蘭數據監管機構。

Facebook每月活躍用戶數量超過20億。9月28日，Facebook股價下跌超過3%。

負責公司產品管理的副總裁羅森（Guy Rosen）稱，Facebook已於27日修補了漏洞，重置了所有受影響的賬戶，並對另外4000萬用戶採取了「預防措施」。受影響的用戶將會收到Facebook的通知，要求其退出賬號並使用原先的密碼重新登錄。在對信息泄露事件致歉後，羅森坦言：「隱私和安全非常重要。由於我們剛開始調查，尚未確定這些賬戶是否存在被濫用誤用或信息被盜的問題。我們也還不清楚此次攻擊的幕後主使以及他們所在的位置。」

信息泄露糟心，但最要命的是「習慣了」

想想就可怕，掌握了你的Facebook賬戶後，攻擊者可以查看你所有的帖子、朋友，聯繫人信息、消息等等，還可以以你的身份「為所欲為」，訪問你通過Facebook登錄過的其他服務。這還不止，同樣的事還發生在你的配偶、孩子、老闆、朋友身上。

可有件事比這更可怕。《大西洋月刊》注意到，儘管近年來發生了這麼多與Facebook有關的「壞事」，可人們對自己被背叛、出賣的感覺卻相當「低調」。《大西洋月刊》忍不住發問：難道是因為經歷了Facebook提取用戶數據、縱容非法和歧視性廣告、和別家共享用戶信息、干預大選、傳播暴力異見的種種越界事件後，人們已經覺得被人盜號似乎也沒那麼糟糕了？

仔細想一下，當黑客和數據泄露事件越來越常見時，面對類似事件，人們似乎真的適應了，沒有那麼憤怒了。2014年索尼影業遭黑客攻擊，被廣泛報道為一次重大的行業和政治事件，記者們當時甚至對被公布的數據窮追不捨。2015年全球最大的婚外情網站「阿什利·麥迪遜」（AshleyMadison.com）被黑客攻擊後，每個人開始意識到，不只是權力玩家會被「黑」，普通人也一樣脆弱。但漸漸地，經歷了2017年美國三大徵信公司之一的Equifax爆出違規泄露半數美國人敏感個人信息、2018年「劍橋分析」數據醜聞，以及科技巨頭們涉嫌操縱美國大選等「大新聞」後，有人偷偷地看了你的私藏照片或私信，反而讓人覺得是司空見慣的「小事」了。

當然，這一切本不該是這樣。信息安全問題猶如一場軍備競賽，每一種補救措施無疑都會帶來新的潛在弱點，因此Facebook不時出現漏洞是意料之中的，但用戶們仍然應該對Facebook會盡其所能保護用戶與其共享的信息有所期望。目前，扎克伯格正在呼籲用人工智慧（AI）解決黑客攻擊、信息濫用、檢測仇恨語言和虛假信息。雖然「藥效」未知，也未見「藥到病除」，但科技巨頭們保護隱私權的努力和嘗試仍然值得肯定。

iWeekly+社交賬號安全管理「三步曲」

對不少人來說，社交軟體越來越多，能把賬號密碼記住就已經能拿滿分了，還得防止賬號被盜？腦殼疼！但其實，安全管理社交賬號並沒有你想像得那麼難。對於此次Facebook的信息泄露，《紐約時報》給出了3個防「黑」小建議，一起來借鑒一下吧：

1）進行設備審核

想確定是否有人獲取了對你賬戶的不當訪問許可權，最佳方法是對你用於登錄Facebook的設備進行審核。在Facebook的「安全和登錄」頁面上，有個「你登錄的位置」標籤，可以查看登錄你賬戶的設備列表及其位置。如果您看到一個不熟悉的設備在奇怪的位置登錄了你的賬號，你可以點擊「刪除」按鈕把它從你的賬戶中踢出去。

2）更改密碼

雖然Facebook表示已經修復了漏洞，無需更改賬戶密碼，但為了安全起見，你還是應該改個密碼，尤其是如果你原來的密碼安全性較弱，或是之前出現過在可疑設備上登錄的情況。而如果要改密碼，盡量選擇一個複雜一點的長密碼，不要重複使用在其他網站上用過的密碼，可以添加數字和特殊字元（比如像「Green4782＃」）。當然，為了管理好自己的眾多密碼，也便於登錄，你也可以考慮使用密碼管理App，如1Password或LastPass。

3）打開雙重身份驗證（建議每個用戶開啟此功能）

與許多網站一樣，Facebook提供了雙重身份驗證的安全功能，用戶必須使用簡訊驗證碼和賬號密碼才能成功登錄。這樣一來，即使有人得到了你的密碼，沒有驗證碼也很難登錄。

圖片來源：大西洋月刊、東方IC

iWeekly周末畫報獨家稿件，未經許可請勿轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！