查看原文
其他

Facebook 的 3 个 Bug 祸害了 5000 万用户!

屠敏 CSDN 2018-10-25

隐私安全战正在打响!

当美国国会参议院商务委员会邀苹果、亚马逊、谷歌、Twitter、AT&T 等美国知名科技巨头共同召开一场有关保护数据隐私的联邦立法听证会时,隔壁的 Facebook 却再次被掀了老底,因自身应用的安全漏洞,导致 5000 万用户账号泄露,可被黑客控制。对此,网友们大呼:小扎,你可长点心吧!否则 Facebook 真的要“非死不可”啦。

图片来源:The wired

在刚刚过去的一天,Facebook 官方发布了一篇博文,表示其工程团队发现了一个自创立 14 年以来最大的漏洞,黑客可利用 Facebook 应用中的“View As”这一功能代码的 Bug 来访问近 5000 万用户账号并完全控制它们。消息一出,各路网友再次炸锅,因为这真的已经记不清是 Facebook 的第几次数据泄露了,所以,这一次究竟又是怎么一回事?


三重 Bug 叠加导致的 5000 万数据泄露


基于此,Facebook 工程、安全及隐私副总裁 Pedro Canahuati 在经查证后,向用户透露出了更多的技术细节,他表示该漏洞是因为三个不同的 Bug 相互影响所导致的结果:

  1. View As 是一种隐私功能,可以让用户看到他们自己的个人资料在 Facebook 平台其他用户眼中是怎样的,简而言之,是通过其他用户的身份查看自己的资料。View As 本来应该仅是一个查看的界面,但是这个页面中现在为一些人提供发布视频以及帖子的机会,例如当博主过生日的时候,朋友可以通过该页面上传生日祝福的帖子或视频,在此过程中,上传视频的用户也会出现在该页面中。

  2. 2017 年 7 月,Facebook 在推出视频上传器的新版本(即上文所述的将上传者显示在 View As 的页面中)时,导致上传者生成了具有 Facebook 移动应用程序权限的访问令牌(access token)。

  3. 当视频上传者作为 View As 界面的一部分呈现时,它不是为查看者生成访问令牌,而是为了那些你正在搜索的用户生成了访问令牌。

这意味着,潜藏的漏洞蛰伏已久,却一直未发现。如今正是这三个 Bug 的连续组合,导致用户使用“View As”功能时,攻击者可以将访问令牌提取,并以另一重用户身份去登录,从而接管控制用户的账号。

毫无疑问,Facebook 本来的功能设计研发过程中就早已出现了问题,却并未在第一时间解决。对此,国内的微博研发副总经理 TimYang 也从技术角度为我们解析了一波,并为诸多从业的工程师敲响了警钟。


化被动为主动,Facebook 再道歉


对于这一数据泄露事件的爆出,要真的追究起来,其实也并非 Facebook 官方工程团队率先发现,而是黑客。在 9 月 16 号这一天,Facebook 监控到用户活动大增,才察觉到异常。

对此,来自 Trail of Bits 公司的安全研究员 Ryan Stortz 表示,Facebook 本应该在黑客之前找到这个 Bug 的。“毕竟 Facebook 拥有一套完整的 API 过滤器,他们可以通过它来知晓所有账户更改(写入)情况。”

不过一位曾于 2012 - 2016 年,任职 Facebook 的安全工程师 Zac Morris 表示这个漏洞并不容易发现。因为“View As”功能已经上线多时,存在 Bug 也不足为奇。

针对这一事件的发生,Facebook 表示深感抱歉,之所以,现在主动公布出来,是想告知每位用户 Facebook 发生了什么以及为隐私安全起见,已在第一时间采取了以下行动:

  • 修复了漏洞并通知了执法部门协助调查。

  • 重置了受影响的近 5000 万个账户的访问令牌。此外,还采取了预防措施,重置了去年受到“View As”查询功能影响的另外 4000 万个账户的访问令牌。因此,目前大约有 9000 万人需要重新登录 Facebook 或任何用 Facebook 登录的应用程序。重新登录后,用户会在 Feed 流顶部收到通知。如下所示:


  • Facebook 在进行彻底的安全审查期间,暂时关闭了“View As”功能。

同时 Facebook 也表示,黑客并未窃取密码,因此用户没有必要更改密码。但如果无法重新登录 Facebook 的用户,如忘记密码,可访问帮助中心找回密码。


小扎个人的 Facebook 账号也要不保?


因“数据泄露门”事件的再次发酵,Facebook 股价应声下跌,到收盘时下跌 2.59% 报 164.46 美元,盘中一度触及 162.56 美元的低点。不仅如此,据彭博社报道,一位小有名气且拥有 2.6 万粉丝的“白帽子”黑客还扬言要在周末举办一场删除 Facebook CEO 扎克伯格个人账号的直播。

据了解,这位名叫“Chang Chi-yuan”是一位来自中国台湾的黑客。从他的个人介绍来看,他曾于 2016 Line Corp“除虫奖赏名人堂”中被列为“特殊贡献者”。不过,他也经历过一些小坎坷,据说因为入侵交通系统、只花 1 元新台币(约 3 美分)购买了一张车票,而被当地公交公司给提告了。同时,这位“白帽”还公布了 Facebook 对其漏洞报告的回应函截图。

不仅如此,Chang Chi-yuan 此前还写过利用黑客技术来挣钱的文章。Facebook 有一个持续的“除虫奖赏”计划,宣称会在认定后、向主动汇报其服务漏洞的安全研究人员发放奖励。

不过就 Facebook 扎克伯格的账号,很多黑客都表达了强烈的兴趣。甚至早在 2011 年,一名黑客就成功窃取了扎克伯格的账号,并更新了状态。

目前据最新消息,这位年仅 24 岁的小伙已经放弃了删除扎克伯格 Facebook 账号的直播,并在 Facebook 上发文表示:

这次不应该真的拿 Zuck 的账号做实验和证明实力。

不过这并不意味着其他用户不再追究,目前已有美国加州用户对 Facebook 提起诉讼:

由于 Facebook 代码中的一个漏洞,黑客和其他不法用户可以接管用户账号,并窃取个人信息以达到令人讨厌和非法的目的。

与此同时,不少网友还掀起一股“删除 Facebook”行动,甚至贴出了删除的教程:

在删除 Facebook 之前,首先要从 Facebook 下载此前的记录,即包含照片、活动会话、聊天记录、IP 地址、面部识别数据的 Facebook 档案包,步骤如下:“设置”-“常规帐户设置”-“下载 Facebook 数据副本”,然后单击“启动我的存档”。

下载完文档后,就可以删除账户了。


流年不利的 Facebook 2018


回顾 Facebook 的成长历程,如同其创始人扎克伯格一样传奇。

出身于 1984 年的扎克伯格,在 10 岁那年就拥有了属于自己的电脑,从中学时期,在父亲爱德华的教导下开始学习 Atari Basic Programming,后来由专业的软件研发者 David Newman 正式教授代码。

高中时,被称之为“神童”的扎克伯格就已经开发出了好几款应用程序,如 ZuckNet 应用,可让父亲在家里与牙医诊所交流;Synapse Media Player 音乐程序,借由人工智能来学习用户听音乐的习惯。在毕业之后,扎克伯格选择进入哈佛大学深造,而深造的并不是他最爱的程序设计,而是心理学,因为或许在他看来,彼时的他已经不用任何人来教授编程了。

此后于 2004 年,以实力说话的扎克伯格用不到一周的时间就开发出了如今享誉世界的社交网站 Facebook,且用了一年不到的时间,让注册人数就突破了 100 万人,由此,扎克伯格也理所当然地从哈佛退学,全职运营起自己的网站。而 Facebook 在其领导下,一路飙升,越做越大:

2005 年 5 月,Facebook 获得 AccelPartners 的 1270 万美元风险投资。

2007 年 7月,Facebook 完成了第一次对其他公司的收购,从 Blake Ross 和 JoeHewitt 手中收购了 Parakey。

2010 年,Facebook 赶超雅虎成为全球第三大网站,与微软谷歌领衔前三。

2014 年,Facebook 宣布以 20 亿美元的总价收购沉浸式虚拟现实技术公司 Oculus VR。

2015 年,Facebook 收购了自然语言软件厂商 Wit.ai、开发视频内容发布设备的 QuickFire Networks。并于 8 月 28 日,单日用户数突破 10 亿。

最终,向来顺风顺水的 Facebook 在 2018 年这一年中,掉入了无数次的悬崖。而上文所述的近 9000 万数据重置访问令牌对于 Facebook 来说,并不是最糟糕的时刻。

今年 3 月,Facebook 被爆出,一家英国战略交流实验室公司(SCL)和剑桥分析公司通过关联 Facebook 登录的第三方应用,窃取了高达 8700 万用户的隐私信息,以至于 Facebook 一度被质疑因其平台上的虚假信息直接影响了美国总统选举。

后来,在沉默了五天之后,扎克伯格亲自出面道歉,并承诺:

“保护用户数据和隐私是 Facebook 的责任,如果我们做不到这点,我们就没有为您服务的资格。我正在抓紧时间消化到底发生了什么而且如何防止类似事件再发生。好消息是,我们早在几年前就已经着手投入防止类似用户数据泄密的技术开发之中。不过,我们也在犯错误,我们需要做得更好更多。”

万万没想到,一波未平一波又起,没过多久,Facebook 又再次被爆出至少向包括苹果、亚马逊、微软和三星在内的 60 家手机和其他设备制造商开放了访问权限,允许他们访问大量的用户数据,并以这些数据共享协议来帮助自己成为社交媒体服务的霸主。

如今看来,面对一次又一次的数据泄露,Facebook 接连 14 年的道歉与承诺还是用上了那句老话,太美的承诺还是因为太年轻。

参考:

https://newsroom.fb.com/news/2018/09/security-update/

https://motherboard.vice.com/en_us/article/bja7qq/how-50-million-facebook-users-were-hacked

https://www.bloomberg.com/news/articles/2018-09-28/indie-hacker-declares-he-ll-live-stream-an-attack-on-zuckerberg

https://www.theverge.com/2018/9/28/17913178/facebook-live-mark-zuckerberg-taiwanese-hack-chang-chi-yuan

https://www.cnbeta.com/articles/tech/772845.htm

微信改版了,

想快速看到CSDN的热乎文章,

赶快把CSDN公众号设为星标吧,

打开公众号,点击“设为星标”就可以啦!

推荐阅读:



征稿啦

CSDN 公众号秉持着「与千万技术人共成长」理念,不仅以「极客头条」、「畅言」栏目在第一时间以技术人的独特视角描述技术人关心的行业焦点事件,更有「技术头条」专栏,深度解读行业内的热门技术与场景应用,让所有的开发者紧跟技术潮流,保持警醒的技术嗅觉,对行业趋势、技术有更为全面的认知。

如果你有优质的文章,或是行业热点事件、技术趋势的真知灼见,或是深度的应用实践、场景方案等的新见解,欢迎联系 CSDN 投稿,联系方式:微信(guorui_1118,请备注投稿+姓名+公司职位),邮箱(guorui@csdn.net)。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存