社交网络巨头Facebook本周公布了其系统遭到攻击的更多细节,据说可以通过代币操纵暴露用户的个人详细信息。但是,受影响的用户范围已从5000万减少到3000万。Facebook在9月25日发现了这次攻击,并在上月底宣布了这一漏洞:Facebook的“仅查看”系统存在缺陷,该系统允许用户查看自己的个人资料和其他页面,就好像其他用户浏览一样。攻击者利用该漏洞获得了对任意用户帐户令牌的访问权限——允许他们在不知道与该帐户关联的密码的情况下访问所谓的私人信息。当时,Facebook产品管理副总裁盖伊·罗森(GuyRosen)表示,该漏洞暴露了大约5000万用户帐户,另外4000万用户可能因使用“仅查看”功能而暴露。这个估计现在被减少到大约3000万人,他们的代币实际上被盗了。首先,攻击者控制了一组与Facebook上的朋友相关联的帐户。他们使用自动迁移技术从一个账户转移到另一个账户,这样他们就可以窃取更多朋友、这些朋友的朋友等的访问权限,实际用户总数约为400,000。这些包括他们时间线上的帖子、他们的朋友列表、他们所属的群组以及最近的Messenger对话的名称。虽然消息的内容对攻击者不可用,但如果该组中的某人是页面管理员,则有一个例外。然后,攻击者使用400,000人的好友列表中的一部分窃取了大约3000万人的访问权限。对于其中的1500万,攻击者访问了两组信息:姓名和联系方式(电话号码、电子邮件)。对于另外1400万人,攻击者能够访问更多个人信息,包括用户名、性别、地区/语言、关系状态、宗教、家乡、城市、出生日期、教育、工作,用于访问Facebook设备类型、他们最近签到或标记的10个地点/网站、他们关注的人或页面以及最近15次搜索等等。虽然被如此大规模的信息泄露攻击并不是什么光荣的事情,但像Facebook这样敢于及时披露并提醒用户注意的公司却寥寥无几。当然,也有可能是为了规避通用数据保护条例(GDPR)。重罚。但是不管怎么说,从用户的角度对攻击事件做出快速反应,及时解决,还是比较积极的。
