社交網(wǎng)絡(luò)巨頭Facebook本周公布了其系統(tǒng)遭受攻擊的更多細(xì)節(jié)，據(jù)稱該系統(tǒng)通過令牌操作能夠暴露用戶的個人詳細(xì)信息。不過目前已將受影響用戶范圍從5000萬縮減到3000萬。

Facebook承認(rèn)被黑

Facebook于9月25日發(fā)現(xiàn)遭到攻擊，并于上月底宣布了這一漏洞：Facebook的“僅查看（view-only）”系統(tǒng)存在缺陷，此系統(tǒng)允許用戶查看其個人資料和其他網(wǎng)頁，就好像是其他用戶在瀏覽一樣。而攻擊者則其中漏洞逐步獲取任意用戶帳戶令牌的訪問權(quán)限 - 允許他們訪問所謂的私人信息，而無需知道與所述帳戶相關(guān)聯(lián)的密碼。

當(dāng)時，F(xiàn)acebook產(chǎn)品管理副總裁蓋伊羅森表示，此漏洞暴露了大約5000萬用戶帳戶，另有4000萬用戶可能因使用“僅查看”功能而暴露出來?，F(xiàn)在正將這一估計數(shù)量減少到大約3000萬，實際上這些人的令牌已經(jīng)被盜了。

首先，攻擊者已經(jīng)控制了一組賬戶，這些賬戶與Facebook上的好友有關(guān)。他們使用自動遷移技術(shù)從帳戶轉(zhuǎn)移到另一帳戶，這樣他們就可以竊取更多好友的訪問權(quán)限，以及這些好友的朋友等等，總共涉及約有40萬實際用戶。其中包括時間軸上的帖子、他們的朋友列表、他們所屬的群組以及最近的Messenger對話名稱。雖然消息內(nèi)容不可用于攻擊者，但有一個例外，即如果此組內(nèi)的某人是頁面管理員的話。

隨后攻擊者利用這40萬人好友名單中的一部分來竊取大約3000萬人的訪問權(quán)限。對于其中1500萬人來說，攻擊者訪問了兩組信息：姓名和聯(lián)系方式（電話號碼、電子郵件）。對于另外1400萬人來說，攻擊者則能夠訪問到更多的個人信息，包括用戶名、性別、區(qū)域/語言、關(guān)系狀態(tài)、宗教、家鄉(xiāng)、所在城市、出生日期、教育、工作、用于訪問Facebook的設(shè)備類型、他們簽入或標(biāo)記的最后10個地方/網(wǎng)站，以及他們關(guān)注的人或頁面以及最近的15次搜索等等。

雖然遭受此等大規(guī)模信息泄露的攻擊事件，并不是什么光彩的事，但像Facebook這樣敢于及時公開并提醒用戶注意的公司并不多見，當(dāng)然也許是為了避免通用數(shù)據(jù)保護條例（GDPR）的重罰。但無論怎么說，對于攻擊事件的快速響應(yīng)，并站到用戶角度及時給予解決，仍是比較積極的。