蘋果日報 | APPLE DAILY
› 選擇地區
三藩市
紐約
洛杉磯
其他美國地區
2018年09月30日

漏洞存在逾年 牽連其他賬戶登入程式
黑客入侵fb 九千萬戶恐「失控」

37,257

全球最大網上社交平台facebook前日公佈,發現一個已存在逾年的嚴重保安漏洞,近5,000萬賬戶被黑客入侵,連教主朱克伯格(Mark Zuckerberg)和營運總監桑德伯格(Sheryl Sandberg)也遭殃,另外有4,000萬戶亦懷疑受影響,facebook要緊急重置這9,000萬戶的存取,全部需重新登入。fb承認迄今仍未查出黑客的身份,也不清楚有沒有賬戶被盜用,事件令外界再度質疑後知後覺的fb,是否有能力保障全球近22億用戶的私隱。
fb在保安公告指出,其工程團隊本月中察覺系統受到黑客攻擊,順藤摸瓜下發現fb的「預覽個人檔案」(View As)功能編碼存在嚴重漏洞,可讓黑客偷取存取代碼(access tokens),控制別人的賬戶,公司立即採取三部曲補救:第一,堵塞編碼漏洞,並通報歐美執法機關;第二,為安全起見,強制9,000萬戶登出,重置存取代碼;第三,暫停「預覽個人檔案」功能,直至完成保安檢討。

藉預覽功能盜存取代碼

根據fb的講法,存取代碼不同於登入密碼,前者等同數碼鑰匙,主要是方便用戶使用facebook手機程式時,毋須每次輸入密碼登入,黑客取得存取代碼,就能完全控制目標戶口。
肇事的「預覽個人檔案」功能,是fb的私隱檢視工具,可讓使用者從其他用戶的角度,查看自己的個人簡介,確認有那些資訊會公開給特定對象。可是,這個原本是用來保護私隱的工具,如今卻反過來被黑客利用來侵犯私隱,着實諷刺。fb不排除稍後會發現有更多受害者,又提醒被強制登出的用戶,他們利用fb賬戶登入的第三方應用程式亦會受影響,例如Instagram等,警告黑客或會將魔爪伸入這些程式。
fb產品管理業務副主席羅森坦言,黑客是以複雜手段串聯起「預覽個人檔案」三個不同的錯誤,盜存取代碼。事源是本應只能閱覽的「預覽個人檔案」,錯誤讓用戶可以使用祝賀朋友生日快樂的片段上載插件,這款插件去年7月推出的新版本,使用時又會錯誤產生可以登入fb手機程式的存取代碼,但最致命的錯誤是,這些存取代碼並不是給予用戶本人,而是給予被用戶查看的友人。結果火燒連環船,黑客通過fb朋友網,輕易入侵大量目標。

朱克伯格道歉:嚴重事故

fb總裁朱克伯格召開電話會議向記者解畫,他指今次是「嚴重事故」,雖然沒迹像顯示黑客曾閱讀用戶的私人訊息,但「未能肯定有沒有戶口遭盜用」。羅森也稱「無法斷定(黑客)是否有特定目標」,他為此向公眾道歉,強調事件中無用戶密碼及信用卡資料外洩。
今次保安漏洞令到矢言加強保障用戶私隱的fb非常尷尬,公司今年較早前深陷「劍橋分析」醜聞,8,700萬用戶資料被挪用來制訂多國選舉策略,引起軒然大波,朱克伯格要到國會作證兼道歉,fb事後將保安團隊擴編至2萬人,可是「預覽個人檔案」的嚴重漏洞竟然存在逾年才被發現,令外界質疑fb未有認真看待問題,美國聯邦貿易委員會主席喬普拉批評fb「不作為的代價正不斷增加,我們要求解釋。」
美聯社/《紐約時報》

蘋果日報fb,每日分享精選新聞及網絡新鮮事。
返回最頂
壹傳媒: 香港 台灣 | 私隱聲明 服務條款 刊登廣告 聯絡我們 招聘
© 2018 AD Internet Limited. All rights reserved. 版權所有 不得轉載