fb大漏洞 5000萬帳戶遭入侵 朱克伯格亦中招 私隱署關注展開審查

fb大漏洞 5000萬帳戶遭入侵朱克伯格亦中招私隱署關注展開審查

[2018.09.30] 發表

【明報專訊】今年3月爆出私隱外泄醜聞的Facebook(fb)發生歷來最嚴重保安漏洞。該公司上周五(28日)表示，黑客利用其「預覽個人檔案」(view as)功能的代碼漏洞，控制目標帳戶，估計約5000萬用戶受影響，就連fb創辦人朱克伯格和營運總監桑德伯格亦中招。fb表示已修復漏洞，並重設逾9000萬個用戶帳號，同時已通知執法部門。

香港個人資料私隱專員黃繼兒表示，關注今次入侵事件，並會就事件展開循規審查，按本港《個人資料(私隱)條例》的規定及既定程序跟進；若有本港Facebook用戶懷疑其帳戶被入侵可通知公署，以便提供協助，並建議巿民使用網絡社交平台要有「自保」方法(見表)。

涉3漏洞 fb稱已修復

Facebook表示，今次事故涉及3個軟件漏洞，兩個是為改善個人私隱而設的網上工具，都在「預覽個人檔案」內，該功能讓用戶知道、控制其他人可以看到自己動態時報哪些內容；另一個是去年7月推出、方便用戶上載生日短片的工具。Fb在9月16日發現不尋常活動，開始調查，至上周二(25日)下午發現漏洞，上周四晚修補。

產品管理副總裁羅森(Guy Rosen)說﹕「很明顯攻擊者利用了fb代碼中的漏洞。我們已經修復漏洞，並通知執法部門。大家的私隱與安全相當重要，我們很抱歉發生這事。」

黑客可完全控制帳戶

AirBnB Tinder等網站或受影響

fb暫時未能確定黑客人數、背景和所在地，但指出黑客利用有關漏洞，由去年7月起盜取了多達5000萬個用戶的「存取憑證」(access tokens，又稱存取令牌)，令他們可以完全控制相關帳戶，取得用戶的個人資料，或喬裝帳戶持有人。「存取憑證」相當於數碼鑰匙，可讓用戶保持登入狀態，毋須每次輸入密碼。fb表示，黑客似乎對用戶的姓名、性別和居住地有興趣，但不清楚其目的，正查證黑客有否冒貼、竄改帖文或信息。該公司稱，有關漏洞亦讓黑客能登入使用fb系統作登入的其他帳戶，這意味一些大網站例如AirBnB、Tinder等亦可能受影響。

fb暫關閉預覽重設存取憑證

擁逾22億用戶的fb採取了一些緊急保護措施，包括暫時關閉「預覽個人檔案」功能，重設了5000萬個直接受影響用戶的「存取憑證」，以及另外約4000萬個用過「預覽個人檔案」功能、有潛在風險用戶的「存取憑證」，共逾9000萬用戶需要使用密碼重新登入，但毋須更改密碼。

受事件影響，fb股價上周五下挫3.5%，也使朱克伯格的安全保證淪為空話。他本月中才撰文表示，因應美國、法國等國家的選舉臨近，fb已準備好應付不懷好意者散播假消息和製造分裂。該公司在美國2016年大選時，被指遭俄羅斯黑客利用，今年3月被揭任由政治顧問公司「劍橋分析」擅取多達8700萬名fb用戶資料，備受抨擊。fb今年將專責網絡保安的人手增加了一倍。美國聯邦貿易委員會委員長喬普拉(Rohit Chopra)批評fb說﹕「違規行為不僅侵犯了我們的私隱。它們為我們的經濟和國家安全帶來巨大風險。」

■明報報料熱線﹕inews@mingpao.com / 9181 4676