Facebook发现巨大安全漏洞,5000万用户受影响
source link: https://www.sdnlab.com/22429.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Facebook周五证实了一个重大的安全漏洞,影响了近5000万用户,黑客利用Facebook的漏洞窃取了与用户个人资料相关的安全令牌,导致用户账户遭到了破坏。
Facebook的股价当天下跌2.6%。
漏洞出现在Facebook的“View As”功能中,该功能可以让账户持有人查看其个人资料在其他用户界面上的展示。攻击者可以利用该漏洞窃取Facebook的访问令牌,这些令牌可以用来接管账号。令牌充当“数字密钥”让用户保持登录,这样他们就不必在每次使用应用程序时都输入密码。
Facebook已经修复了此漏洞,并提醒执法人员注意该漏洞,并在调查期间暂时禁用了“View As”功能。
虽然调查仍在进行中,但Facebook已经确认此次攻击源于它在2017年7月对视频上传功能所做的更改,影响了“View As”功能。攻击者找到了这个bug,用它来窃取访问令牌,然后从目标帐户转到其他帐户,以便窃取更多的令牌。
Facebook产品管理副总裁Guy Rosen表示,Facebook重置了5000万受影响帐户的安全令牌,以及在过去一年中使用“View As”功能查看的4000万个其他帐户。
总的来说,Facebook的20亿用户中,大约有9000万用户需要重新登录他们的帐户以及通过Facebook登录访问的任何应用程序。当他们重新登录时,他们会看到一个通知在他们News Feed的顶部解释发生了什么。
Rosen表示,如果Facebook发现更多受影响的账号,它将立即重置访问令牌。对于采取预防措施提前退出Facebook的用户,Facebook的安全和登录部分可以让用户查看他们登录的位置,并允许一次退出所有设备。
Facebook表示调查还处于起步阶段,攻击者是谁以及他们的意图仍然是未知数。一些业内专家开始关注Facebook为什么不能及早发现漏洞。
“Facebook如此受欢迎,但令我感到惊讶的是,无论是外部的测试人员还是Facebook的内部IT安全团队,过去从未发现黑客并报告过这个漏洞,”Comparitech的隐私权倡导者Paul Bischoff说。 “我很想知道这个漏洞在被发现和利用之前存在了多长时间。”
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK