Facebook今日公布該公司在本周二（25日）發現的嚴重用帳影響一個嚴重安全漏洞，有近5000萬帳戶受影響。安全Facebook指問題已解決，漏洞並已聯絡執法機關。毋需

Facebook表示，密碼他們已重新設定這5000萬個帳戶，可使以及另外4000萬個可能受影響的戶近帳戶——有關用戶需要重新登入Facebook，其他透過Facebook帳戶登入的千萬服務亦須重新登入。登入後這些用戶會收到通知，人受解釋今次事故，嚴重用帳影響但用戶毋須更改密碼。安全

Photo Credit: Depositphotos

雖然調查仍在初步階段，但Facebook指攻擊者利用了其「檢視角度」（View As）功能的毋需程式碼漏洞——這項功能讓用戶可以查看其他人會在其Facebook個人頁面看到甚麼內容，以便檢視其上載內容的密碼私隱設定。

該漏洞令攻擊者可以盜取其他用戶的可使「存取權杖」（access tokens）。存取權杖可視為一組數碼鑰匙，在用戶登入Facebook時產生，讓他們在登入後不用每次使用時都重新輸入密碼。換言之，取得「存取權杖」後，攻擊者就能夠在沒有密碼的情況下使用帳戶。

因此Facebook重設受影響用戶的存取權杖後，他們需要重新輸入密碼才可登入帳戶，而且毋須更改密碼。Facebook亦正為「檢視角度」功能作安全審查，暫時關閉此功能。

Photo Credit: Berliner Verlag / Steinach / dpa / Corbis / 達志影像

在星期二Facebook察覺到用戶活動有可疑急增，調查後發現黑客使用甚API自動抓取用戶的帳戶資訊，於星期三通知了美國聯邦調查局（FBI）。他們承認是次攻擊「規模頗大」，除了確認受影響的5000萬人外，Facebook亦重設了另外4000萬曾被人透過「檢視角度」查看的帳戶，總共有9000萬個帳戶需要重新登入Facebook。

Faceboo在記者會上更詳細描述攻擊方法，指出攻擊其實利用了系統三個錯誤的互動。第一個漏洞引致影片上載器會出現在（本來不應出現的）某些貼文；第二個漏洞令這個影片上載器產生存取權仗；第三個漏洞使用了「檢視角度」的程式碼錯誤，使產生的存取權仗屬於正被檢視的帳戶，而非正在登入的帳戶——至此攻擊者就能直接使用任何帳戶。

該公司產品管理副總裁羅辛（Guy Rosen）羅辛提到，目前仍未清楚黑客有否透過帳戶收集私人訊息、貼文等資訊，但有收集姓名、性別和出生地等資訊。不過他強調一點︰「攻擊者能夠像擁有帳戶般使用帳戶。」

值得注意的是，今次漏洞源於2017年7月Facebook修改的程式碼，這段期間可能有其他人用類似手法攻擊，而未被Facebook發現。近日未有被登出的用戶，可以在設定中的「帳戶安全和登入」檢視現時正在登入的裝置，如有不明裝置可將之登出。

相關文章︰

• 使用「雙重認證」登入便安全？首先別再以SMS接收驗證碼
• 如果無法立即脫離Facebook，我們可以怎樣保障私隱？
• Zuckerberg承認犯錯，但未解釋Facebook當初為何相信劍橋分析

資料來源︰

• Security Update September 28, 2018 (Facebook Newsroom)
• Facebook confesses crappy code has exposed up to 90 million users to hackers (The Register)
• Facebook hacker stole login information for 50 million accounts (The Verge)
• Hackers may have accessed 50 million Facebook accounts in a new security breach (Recode)