Facebook昨日(9月28日）披露了一个广泛存在的安全漏洞，Facebook近5000万社交网络用户受到影响，并让攻击者可以访问这些用户使用Facebook登录的其他网站和应用程序的帐户。

攻击者利用了一个名为“View As”的功能中的错误，该功能允许用户以其他人的方式查看他们的Facebook页面。攻击者能够接管帐户并使用它们，就像他们是帐户持有者一样。这将包括发布或查看任何该帐户的朋友共享的信息。 Facebook表示没有访问存储在公司的信用卡信息。

随后，Facebook 产品副总裁Guy Rosen发文告知用户已采取的行动。

首先，我们已经修复了漏洞并通知了执法部门。

其次，重置了我们知道受影响的近5000万个帐户的访问令牌，以保护他们的安全。我们还采取了预防措施，重新设置了去年受到“View as”查询的另外4000万帐户的访问令牌。因此，现在大约有9000万人需要重新登录Facebook或任何使用Facebook登录的应用程序。重新登录后，人们会在新闻Feed的顶部收到通知，说明发生了什么。

第三，我们在进行彻底的安全审查时暂时关闭了“View as”功能。

Guy Rosen还公布了上述安全问题的一些其他技术细节。

本周早些时候，我们发现外部参与者攻击了我们的系统并利用了一个漏洞，当我们推出“View As”功能的特定组件时，该漏洞会在HTML中为人们的帐户暴露Facebook访问令牌。该漏洞是三个不同错误相互作用的结果：

第一：View As是一种隐私功能，可让人们看到其他人对自己个人资料的看法。 View As应该是一个仅查看的界面。但是，对于一种类型的内容发布者（允许你将内容发布到Facebook的框）——特别是让人们希望他们的朋友生日快乐的类型，使得View As错误地提供了发布视频的机会。

第二：2017年7月推出的我们的视频上传器的新版本（将作为第一个错误的结果呈现的界面）错误地生成了具有Facebook移动应用程序权限的访问令牌。

第三：当视频上传器作为View As的一部分出现时，它生成的访问令牌不是为您作为查看器，而是为您正在查找的用户。

正是这三个错误的组合成了一个漏洞：当使用“查看为”功能将您的个人资料视为朋友时，代码并没有删除让人们祝你生日快乐的作曲家;视频上传器会在不应该有的情况下生成访问令牌;当生成访问令牌时，它不适合您，而是被查找的人。然后，该页面的HTML中提供了该访问令牌，攻击者可以将其提取并利用以另一个用户身份登录。

然后，攻击者可以从该访问令牌转到其他帐户，执行相同的操作并获得进一步的访问令牌。

Facebook表示，它正在大力投资未来的安全性，并将从事安全工作的人数从10,000人增加到20,000人。

扎克伯格说，“安全是一场军备竞赛，我们正在继续改善我们的防御，”

无独有偶，迫使9000万Facebook用户登出的漏洞公布前，Facebook首席执行官扎克伯格的个人账号在几天前被“台湾天才骇客”张启元盯上。

张启元在一篇Facebook帖子中写信给他的26,000名粉丝，承诺删除Facebook创始人的账号，并在Facebook Live上播放。

这位现年24岁的天才骇客，在2016 Line bugbash奖赏名人堂”中被列为“特殊贡献者”。

就在今年9月18日，他还发现了苹果Apple Pay的漏洞，只用1元就成功刷了500台iPhone 8 Plus跟2台iPhone XS MAX，总价值高达新台币1565万5800元。

再回到这次声称周日直播，这并不是第一次和扎克伯格交手了，2013年，19岁的他就因删除扎克伯格贴文、协助找出其漏洞而声名大噪，获奖金1000美元。

2015年，他还帮助台湾一名自杀的艺人杨又颖家属，解锁她生前所用手机，再度被报导，但后续发现统联和7-11购票系统漏洞，用1元买到车票或游乐园门票，引发了各界正反两面评价。

亦正亦邪，白帽 or 黑客似乎都无法定位张启元。

这位古灵精怪的天才骇客在周四的时候发布的贴文。这个姿势是由于近日一俄罗斯女大学生展开了一项反对男性岔腿占座运动——见到男乘客岔开腿占空间，便直接将稀释过的漂白水泼向其胯部。

美国东部时间9月28日，张启元已经决定取消攻击，他在一篇Facebook帖子中宣布。 “我将取消我的直播，我已经向Facebook报告了这个错误，当我从Facebook获得赏金时，我会出示证据。”

在周五的Facebook页面上，张启元表示他正在取消对Facebook首席执行官的攻击并进行公告以避免不必要的麻烦。

张启元在最近的一篇文章中写道：

我不想成为一名合适的黑客，我根本不想成为一名黑客， 我只是觉得无聊并且试图哄骗我赚钱。即使在我发现许多错误并获得丰厚的赏金之后，仍会有很多人质疑我的能力，仍会有很多人质疑我的能力，我不应该试图通过玩弄扎克伯格的账户来证明自己。

Anyway，小扎可以好好过周末了~

参考来源：

• The Verge

• bloomberg

• facebook

• bugbounty.linecorp.com

往期热门资讯：                                        

扫描二维码，获得更多新鲜资讯！