本周二(9月25日),Facebook发现资安漏洞,黑客可利用这个漏洞来获取其他账户的登录信息,初步估计受影响的账号多达5000万个。
据Facebook的消息指出,工作人员是在“访客视图” (View As)的代码中发现这个漏洞,访客视图原本是让使用者以公众或特定使用者的身份查看自己的个人主页,以了解他人能在使用者的个人主页能查看哪些内容。黑客利用这项漏洞,窃取用户帐号的登录的存取权限,从而获得接管用户账户的权限。
Facebook称已修复了这项漏洞,并告知了执法部门。受影响的5000万名账户访问已被重置,Facebook也对另外4000万名使用过“访客视图”功能的使用者采取相同的措施,换句话说,多达9000万名使用者被强制登出,受影响的使用者必须重新登录,并将在News Feed中收到官方的通知说明(见下图)。
为安全起见,存在漏洞的“访客视图”功能已被禁用,直到确定没问题后,才再度开放。
Facebook目前仍在调查受影响的账户是否遭到滥用,也全力追查黑客的身份及来源。Facebook也强调遭到黑客窃取的并非帐号密码,使用者并不需要更换密码。
Since we’ve only just started our investigation, we have yet to determine whether these accounts were misused or any information accessedGuy Rosen, VP of Product Management, Facebook
使用者可以从设置中的“安全与登录”查看并审核近期登录,这里列出了相关登录地点,并可以透过“从所有设备退出登录”从所有设备中登出。
有关这次事件的细节,可到官方部落格文章,未来有进一步消息,Facebook将会发布在该文章上。
