fb三招急堵大漏洞 股價挫3.5%
黑客可完全控制帳戶 盜用個人資料
【明報專訊】今年3月爆出私隱外泄醜聞的Facebook(fb)發生歷來最嚴重保安漏洞。該公司上周五(28日)表示,黑客利用其「預覽個人檔案」(view as)功能的代碼漏洞,控制目標帳戶,估計約5000萬用戶受影響,就連fb創辦人朱克伯格和營運總監桑德伯格亦中招。fb表示已修復漏洞,並重設逾9000萬個用戶帳號,同時已通知執法部門。
涉3漏洞 fb稱已修復
Facebook表示,今次事故涉及3個軟件漏洞,兩個是為改善個人私隱而設的網上工具,都在「預覽個人檔案」內,該功能讓用戶知道、控制其他人可以看到自己動態時報哪些內容;另一個是去年7月推出、方便用戶上載生日短片的工具。fb在9月16日發現不尋常活動,開始調查,至上周二(25日)下午發現漏洞,上周四晚修補。
產品管理副總裁羅森(Guy Rosen)說﹕「很明顯攻擊者利用了fb代碼中的漏洞。我們已經修復漏洞,並通知執法部門。大家的私隱與安全相當重要,我們很抱歉發生這事。」
fb暫時未能確定黑客人數、背景和所在地,但指出黑客利用有關漏洞,由去年7月起盜取了多達5000萬個用戶的「存取憑證」(access tokens,又稱存取令牌),令他們可以完全控制相關帳戶,取得用戶的個人資料,或喬裝帳戶持有人。「存取憑證」相當於數碼鑰匙,可讓用戶保持登入狀態,毋須每次輸入密碼。fb表示,黑客似乎對用戶的姓名、性別和居住地有興趣,但不清楚其目的,正查證黑客有否冒貼、竄改帖文或信息。該公司稱,有關漏洞亦讓黑客能登入使用fb系統作登入的其他帳戶,這意味一些大網站例如AirBnB、Tinder等亦可能受影響。
fb暫關閉預覽 重設存取憑證
擁逾22億用戶的fb採取了一些緊急保護措施,包括暫時關閉「預覽個人檔案」功能,重設了5000萬個直接受影響用戶的「存取憑證」,以及另外約4000萬個用過「預覽個人檔案」功能、有潛在風險用戶的「存取憑證」,共逾9000萬用戶需要使用密碼重新登入,但毋須更改密碼。
受事件影響,fb股價上周五下挫3.5%,也使朱克伯格的安全保證淪為空話。他本月中才撰文表示,因應美國、法國等國家的選舉臨近,fb已準備好應付不懷好意者散播假消息和製造分裂。該公司在美國2016年大選時,被指遭俄羅斯黑客利用,今年3月被揭任由政治顧問公司「劍橋分析」擅取多達8700萬名fb用戶資料,備受抨擊。fb今年將專責網絡保安的人手增加了一倍。美國聯邦貿易委員會委員長喬普拉(Rohit Chopra)批評fb說﹕「違規行為不僅侵犯了我們的私隱。它們為我們的經濟和國家安全帶來巨大風險。」