Facebook表示受安全漏洞影响的50M用户帐户

Facebook报告了一起重大安全漏洞，其中有5000万用户帐户被未知攻击者访问。

Facebook表示，攻击者通过窃取公司用来保持用户登录的数字密钥，获得了“控制”这些用户帐户的能力。他们可以通过利用Facebook代码中的三个不同错误来实现这一目标。

该公司表示已经修复了这些漏洞并登出了5000万用户 - 另外还有4千万易受攻击的用户 - 以便重置这些数字密钥。用户不需要更改他们的Facebook密码，它说。

Facebook表示，它不知道攻击的背后是谁或他们所在的位置。在周五与记者的电话会议上，首席执行官马克扎克伯格(他自己的帐户遭到入侵)表示，攻击者可以查看私人消息或发布某人的帐户，但没有迹象表明他们这样做了。

“我们还不知道是否有任何账户被滥用，”扎克伯格说。

在动荡的安全问题和隐私问题的一年中，黑客是Facebook的最新挫折。但到目前为止，这些问题都没有严重影响该公司20亿全球用户的信心。

这个最新的黑客攻击涉及Facebook的“查看为”功能中的错误，该功能让人们可以看到他们的个人资料对他人的看法。攻击者利用该漏洞从使用“查看为”功能搜索其个人资料的人的帐户中窃取数字密钥，称为“访问令牌”。然后攻击从一个用户的Facebook好友移动到另一个用户。拥有这些令牌将允许攻击者控制这些帐户。

Facebook产品管理副总裁盖伊罗森说，其中一个漏洞已经超过一年，影响了“查看为”功能如何与Facebook的视频上传功能相互作用，以发布“生日快乐”消息。但直到9月中旬，Facebook才发现异常活动有所增加，而且直到本周才知道这次袭击事件，罗森说。

罗森在与记者的电话中表示，“我们尚无法确定特定账户是否存在特定目标”。“它确实看起来很广泛。我们还不知道这些攻击的背后是谁以及他们可能在哪里。”

罗森说，密码和信用卡数据都没有被盗。他说，该公司已向美国和欧洲的联邦调查局和监管机构发出警告。

Rendition Infosec的安全专家Jake Williams表示，他担心黑客可能会影响第三方应用程序。

威廉姆斯指出，该公司的“Facebook登录”功能允许用户使用他们的Facebook凭据登录其他应用程序和网站。“这些被盗的访问令牌显示用户登录Facebook时可能足以访问第三方网站上的用户帐户，”他说。

Facebook周五晚间证实，第三方应用程序以及自己的Instagram应用程序可能已受到影响。

“这个漏洞存在于Facebook上，但是这些访问令牌使得某人可以像使用帐户一样使用该帐户，”罗森说。

今年早些时候有消息称，曾在特朗普活动中使用的数据分析公司Cambridge Analytica不正当地从数百万用户档案中获取了个人数据。然后国会调查发现，至少自2016年以来，来自俄罗斯和其他国家的代理商一直在发布假政治广告。四月，扎克伯格出席了一场专注于Facebook隐私实践的国会听证会。

Facebook漏洞让人回想起对雅虎的更大攻击，攻击者攻击了30亿个账户 - 足以占据全球一半人口的一半。就雅虎而言，被盗信息包括姓名，电子邮件地址，电话号码，出生日期和安全问题及答案。这是多年来一系列雅虎黑客行为之一。

美国检察官后来指责俄罗斯特工利用他们从雅虎窃取的信息来监视俄罗斯记者，美国和俄罗斯政府官员以及金融服务和其他私营企业的雇员。

约翰斯·霍普金斯大学(Johns Hopkins University)教授托马斯·里德(Thomas Rid)表示，在Facebook的案例中，要知道攻击者的复杂程度以及他们是否与一个民族国家有关，可能为时尚早。Rid说它也可能是垃圾邮件发送者或罪犯。

“我们在这里看到的任何东西都不是那么复杂，需要一个州演员，”里德说。“对于任何情报机构来说，五千万个随机Facebook帐户都不是很有趣。”

消费者权益组织美国PIRG的高级主管埃德·米尔兹温斯基(Ed Mierzwinski)表示，这一违规行为“非常令人不安”。

“这是另一个警告，国会不得制定任何国家数据安全或数据泄露立法，削弱现行的国家隐私法，先发制人的权利，通过新的法律，以更好地保护他们的消费者，或否认他们的律师调查的一般权利违反或执行这些法律，“他在一份声明中说。

Wedbush分析师Michael Pachter表示，“最重要的一点是我们从他们身上发现了”，这意味着Facebook，而不是第三方。

“作为用户，我希望Facebook主动保护我的数据，让我知道什么时候它被泄露，”他说。