深圳网站设计制,ui设计师创意平台,杭州百度推广,微信公众号官方平台对小扎来说#xff0c;又是多灾多难的一个月。 继不久前Twitter曝出修补了一个可能造成数以百万计用户私密消息被共享给第三方开发人员的漏洞#xff0c;连累Facebook股价跟着短线跳水之后#xff0c;9月28日#xff0c;Facebook又双叒叕曝出因安全漏洞遭到黑客攻击#… 对小扎来说又是多灾多难的一个月。 继不久前Twitter曝出修补了一个可能造成数以百万计用户私密消息被共享给第三方开发人员的漏洞连累Facebook股价跟着短线跳水之后9月28日Facebook又双叒叕曝出因安全漏洞遭到黑客攻击致近5000万用户信息泄露事件。消息传出后Facebook股价又跌了跌幅从1.5%, 扩大至3.05%。最终报收于164.46美元下跌2.59%。 真是男默女泪。 到底是怎么一回事 据说这个漏洞是个历史遗留问题。去年FB上线了一个改动并调整了用户上传视频的技术细节。不巧的是这个改动的代码在“查看为View As功能里留下了漏洞。 这个功能本来活跃度并不高但最近Facebook技术团队发现调用它的请求暴增这才引起了安全团队的怀疑并在本周二找到了这颗隐藏地雷。 Facebook 产品管理副总裁 Guy Rosen 特意写了一篇博客Rosen 表示 Facebook View As功能的代码的确存在缺陷。 这个功能其实相当于开了第三人视角毕竟FB内置的隐私设置太过复杂说不准就打开了什么隐藏开关良心玩家给了用户一根金手指可以自己随时查看账户内容就和你看别人视角是一样的。 但问题也就在这利用这个漏洞黑客窃取了用户的“访问令牌”access token即无需重新输入密码就能保持登录服务的数字密码。 这个数字密码的功能就是帮用户保存密码让懒癌患者不需要每次登录都输入一遍账户密码。有了这个令牌黑客就可以直接得到接管用户账户的权限在不知道密码的情况下登录相关的Facebook帐户下载受害者的私人信息照片和视频。 一位Facebook代表补充了更多细节这个漏洞是三个bug交织在一起的复杂漏洞第一个bug让一个本不该出现的视频上传功能冒了出来。第二个漏洞导致上传工具生成了访问token。第三个最关键它让token到了其他人手里跟实际访问者没什么关系。这就意味着第三方有机会直接访问用户账户 厉害了这就是传说中的令牌在此速开城门还不止能开一扇门可能直接开了天窗。 话说这个事影响也不小据小扎透露周五早间约有5000万个Facebook账户受到攻击黑客们试图查询其应用程序界面存取路径简介信息姓名性别家庭住址等但说实话他们也不知道个人信息是否通过这个被泄露了。 目前这些账户的访问权限已被重置另外Facebook重置了额外4000万个账户也就是9000万个账户需要重新输入一遍登陆名邮件或电话和密码。同时Facebook 已经暂时关闭了“View As”功能。 对一一脸懵逼的用户来说也不用慌这次被波及的用户信息不包括密码所以用户不需要重置密码。 相比以前遮遮掩掩的态度Facebook这次似乎有点正面刚的意思虽然现在还不知道幕后黑客是谁但主动联系了FBI准备揪出这些别有用心的黑客。 只不过有意思的是有用户发现了删帖屏蔽事件比如你在Facebook上发帖谈论关于这个漏洞会被屏蔽在Facebook上分享相关新闻时也会被阻止总之就甭想着在脸书谈这事了就是不发文字分享相关图片也会被识别出来…… 这件事似乎成了Facebook的敏感之处围观群众也在调侃小扎很有口嫌体直之风嘴上说不介意行动却很诚实。 参考来源theregisterTechCrunch 雷锋网雷锋网(公众号雷锋网)雷锋网
