Facebook嚴重安全漏洞︰毋需密碼可使用帳戶 近五千萬人受影響

Facebook嚴重安全漏洞︰毋需密碼可使用帳戶 近五千萬人受影響
Photo Credit: Nacho Doce / REUTERS / 達志影像
我們想讓你知道的是

Facebook公佈本周發現一個嚴重漏洞,讓黑客可以無須密碼下使用他人帳戶,有近5000萬帳戶受影響。漏洞目前已經修補,其中一項涉事功能正停用。

Facebook今日公布該公司在本周二(25日)發現的一個嚴重安全漏洞,有近5000萬帳戶受影響。Facebook指問題已解決,並已聯絡執法機關。

Facebook表示,他們已重新設定這5000萬個帳戶,以及另外4000萬個可能受影響的帳戶——有關用戶需要重新登入Facebook,其他透過Facebook帳戶登入的服務亦須重新登入。登入後這些用戶會收到通知,解釋今次事故,但用戶毋須更改密碼。

Depositphotos_145572073_xl-20152
Photo Credit: Depositphotos

雖然調查仍在初步階段,但Facebook指攻擊者利用了其「檢視角度」(View As)功能的程式碼漏洞——這項功能讓用戶可以查看其他人會在其Facebook個人頁面看到甚麼內容,以便檢視其上載內容的私隱設定。

該漏洞令攻擊者可以盜取其他用戶的「存取權杖」(access tokens)。存取權杖可視為一組數碼鑰匙,在用戶登入Facebook時產生,讓他們在登入後不用每次使用時都重新輸入密碼。換言之,取得「存取權杖」後,攻擊者就能夠在沒有密碼的情況下使用帳戶。

因此Facebook重設受影響用戶的存取權杖後,他們需要重新輸入密碼才可登入帳戶,而且毋須更改密碼。Facebook亦正為「檢視角度」功能作安全審查,暫時關閉此功能。

People on Facebook
Photo Credit: Berliner Verlag / Steinach / dpa / Corbis / 達志影像

在星期二Facebook察覺到用戶活動有可疑急增,調查後發現黑客使用甚API自動抓取用戶的帳戶資訊,於星期三通知了美國聯邦調查局(FBI)。他們承認是次攻擊「規模頗大」,除了確認受影響的5000萬人外,Facebook亦重設了另外4000萬曾被人透過「檢視角度」查看的帳戶,總共有9000萬個帳戶需要重新登入Facebook。

Faceboo在記者會上更詳細描述攻擊方法,指出攻擊其實利用了系統三個錯誤的互動。第一個漏洞引致影片上載器會出現在(本來不應出現的)某些貼文;第二個漏洞令這個影片上載器產生存取權仗;第三個漏洞使用了「檢視角度」的程式碼錯誤,使產生的存取權仗屬於正被檢視的帳戶,而非正在登入的帳戶——至此攻擊者就能直接使用任何帳戶。

該公司產品管理副總裁羅辛(Guy Rosen)羅辛提到,目前仍未清楚黑客有否透過帳戶收集私人訊息、貼文等資訊,但有收集姓名、性別和出生地等資訊。不過他強調一點︰「攻擊者能夠像擁有帳戶般使用帳戶。」

值得注意的是,今次漏洞源於2017年7月Facebook修改的程式碼,這段期間可能有其他人用類似手法攻擊,而未被Facebook發現。近日未有被登出的用戶,可以在設定中的「帳戶安全和登入」檢視現時正在登入的裝置,如有不明裝置可將之登出。

相關文章︰

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader