Facebook嚴重安全漏洞︰毋需密碼可使用帳戶 近五千萬人受影響

Facebook嚴重安全漏洞︰毋需密碼可使用帳戶 近五千萬人受影響
Photo Credit: Nacho Doce / REUTERS / 達志影像

我們想讓你知道的是

Facebook公佈本周發現一個嚴重漏洞,讓黑客可以無須密碼下使用他人帳戶,有近5000萬帳戶受影響。漏洞目前已經修補,其中一項涉事功能正停用。

Facebook今日公布該公司在本周二(25日)發現的一個嚴重安全漏洞,有近5000萬帳戶受影響。Facebook指問題已解決,並已聯絡執法機關。

Facebook表示,他們已重新設定這5000萬個帳戶,以及另外4000萬個可能受影響的帳戶——有關用戶需要重新登入Facebook,其他透過Facebook帳戶登入的服務亦須重新登入。登入後這些用戶會收到通知,解釋今次事故,但用戶毋須更改密碼。

Depositphotos_145572073_xl-20152
Photo Credit: Depositphotos

雖然調查仍在初步階段,但Facebook指攻擊者利用了其「檢視角度」(View As)功能的程式碼漏洞——這項功能讓用戶可以查看其他人會在其Facebook個人頁面看到甚麼內容,以便檢視其上載內容的私隱設定。

該漏洞令攻擊者可以盜取其他用戶的「存取權杖」(access tokens)。存取權杖可視為一組數碼鑰匙,在用戶登入Facebook時產生,讓他們在登入後不用每次使用時都重新輸入密碼。換言之,取得「存取權杖」後,攻擊者就能夠在沒有密碼的情況下使用帳戶。

因此Facebook重設受影響用戶的存取權杖後,他們需要重新輸入密碼才可登入帳戶,而且毋須更改密碼。Facebook亦正為「檢視角度」功能作安全審查,暫時關閉此功能。

People on Facebook
Photo Credit: Berliner Verlag / Steinach / dpa / Corbis / 達志影像

在星期二Facebook察覺到用戶活動有可疑急增,調查後發現黑客使用甚API自動抓取用戶的帳戶資訊,於星期三通知了美國聯邦調查局(FBI)。他們承認是次攻擊「規模頗大」,除了確認受影響的5000萬人外,Facebook亦重設了另外4000萬曾被人透過「檢視角度」查看的帳戶,總共有9000萬個帳戶需要重新登入Facebook。

Faceboo在記者會上更詳細描述攻擊方法,指出攻擊其實利用了系統三個錯誤的互動。第一個漏洞引致影片上載器會出現在(本來不應出現的)某些貼文;第二個漏洞令這個影片上載器產生存取權仗;第三個漏洞使用了「檢視角度」的程式碼錯誤,使產生的存取權仗屬於正被檢視的帳戶,而非正在登入的帳戶——至此攻擊者就能直接使用任何帳戶。

該公司產品管理副總裁羅辛(Guy Rosen)羅辛提到,目前仍未清楚黑客有否透過帳戶收集私人訊息、貼文等資訊,但有收集姓名、性別和出生地等資訊。不過他強調一點︰「攻擊者能夠像擁有帳戶般使用帳戶。」

值得注意的是,今次漏洞源於2017年7月Facebook修改的程式碼,這段期間可能有其他人用類似手法攻擊,而未被Facebook發現。近日未有被登出的用戶,可以在設定中的「帳戶安全和登入」檢視現時正在登入的裝置,如有不明裝置可將之登出。

相關文章︰

資料來源︰


猜你喜歡


輸在數據,或贏在數據?AWS免費線上研討會為企業制定必勝數據戰略

輸在數據,或贏在數據?AWS免費線上研討會為企業制定必勝數據戰略

我們想讓你知道的是

AWS將於2022年5月25日下午2:00~5:00舉行線上研討會AWS For Data Web Day,以「數據與分析」為本次活動主旨,幫助企業制定現代化數據戰略,除了精彩內容外,同時也邀請了3位知名產業經驗的客戶進行分享,讓您了解在產業實務上AWS如何協助企業進行轉型。

數位轉型是一段不斷學習與創新的過程。身為雲端服務龍頭,AWS從過去到現在從未停止創新,且為了幫助企業客戶在數據為王的時代,能有效利用數據資料獲得深入洞察、搶得市場先機,AWS將於2022年5月25日下午2:00~5:00舉行線上研討會AWS For Data Web Day,以「數據與分析」為本次活動主旨,幫助企業制定現代化數據戰略。

2022年的關鍵任務:制定現代化數據戰略

在討論元宇宙拓荒、搶佔新興科技商機以前,企業是否已經紮穩腳步,建置完善的數據資料庫,建構業務創新的重要基礎?在邁向新時代的關鍵2022年,此刻最重要的任務之一,是制定現代化的數據戰略,幫助企業持續數位轉型。對此,AWS For Data Web Day線上研討會內容,將包含Amazon DynamoDB的十年創新之旅,帶領參與者進行新功能重點探討,並且同步深入了解AWS現代化企業數據遷移實戰、現代化數據平台大戰略、數據創新與加速分析應用等。

除了詳細解說數據對您企業帶來的影響之外,也邀請到AWS實際企業客戶分享成功案例,加速了解如何運用數據與分析進行產業數位轉型。

如何透過AWS獲得成功?重量級客戶親自揭密

AWS For Data Web Day線上研討會本次邀請了重量級來賓,成功企業包含全方位寵物管家 萬達寵物、大數據智能資料稽核與保護的專家 – Datiphy以及企業數據資產整合專家 – eForce,以上三間知名企業,將親自講授他們是如何透過AWS獲得成功,並且在數位轉型上取得領先的地位。

本場研討會,在深入了解該如何提升數據分析的效能的同時,又能兼具成本效益高與安全性;適合對於如何靈活應用大數據、對數據分析有興趣、想要建構數據與分析基本功的所有受眾,例如:公司技術部門決策人、業務決策人、IT主管及希望深入認識數據分析的任何人士。與會期間參與問答,還有機會抽中百元外送平台美食券。

在AWS For Data Web Day中探討雲端數據資料庫的優勢與做法,包括:

  1. 20萬多個資料湖在AWS上執行
  2. 使用Amazon EMR比標準Apache Spark快3倍
  3. 比其他雲端資料倉儲更實惠的價格效能達3倍
  4. 使用Amazon OpenSearch Service在單個叢集中儲存的資料量可達3PB
  5. 節省70%資料湖中資料的儲存成本

AWS For Data Web Day報名須知

  • 日期:2022年5月25日(星期三)
  • 時間:2:00 PM~5:00 PM
  • 形式:線上研討會

建議在活動前免費註冊AWS帳號 ,新註冊戶可兌換精美好禮三合一數據線。若為首次參加線上研討會者,GoToWebinar會自動偵測電腦配置,可在加入時自動安裝;若是使用手機登入此活動,則需安裝GoToWebinar手機應用程式。


猜你喜歡