對小扎來說，又是多災(zāi)多難的一個(gè)月。

繼不久前Twitter曝出修補(bǔ)了一個(gè)可能造成數(shù)以百萬計(jì)用戶私密消息被共享給第三方開發(fā)人員的漏洞，連累Facebook股價(jià)跟著短線跳水之后，9月28日，F(xiàn)acebook又雙叒叕曝出因安全漏洞遭到黑客攻擊，致近5000萬用戶信息泄露事件。消息傳出后，F(xiàn)acebook股價(jià)又跌了，跌幅從1.5%, 擴(kuò)大至3.05%。最終報(bào)收于164.46美元，下跌2.59%。

真是男默女淚。

到底是怎么一回事？

據(jù)說這個(gè)漏洞是個(gè)歷史遺留問題。去年FB上線了一個(gè)改動(dòng)并調(diào)整了用戶上傳視頻的技術(shù)細(xì)節(jié)。不巧的是，這個(gè)改動(dòng)的代碼在“查看為（View As）功能里留下了漏洞。

這個(gè)功能本來活躍度并不高，但最近Facebook技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)調(diào)用它的請求暴增，這才引起了安全團(tuán)隊(duì)的懷疑，并在本周二找到了這顆隱藏地雷。

Facebook 產(chǎn)品管理副總裁 Guy Rosen 特意寫了一篇博客，Rosen 表示 Facebook View As功能的代碼的確存在缺陷。

這個(gè)功能其實(shí)相當(dāng)于開了第三人視角，畢竟FB內(nèi)置的隱私設(shè)置太過復(fù)雜，說不準(zhǔn)就打開了什么隱藏開關(guān)，良心玩家給了用戶一根金手指，可以自己隨時(shí)查看賬戶內(nèi)容，就和你看別人視角是一樣的。

但問題也就在這，利用這個(gè)漏洞黑客竊取了用戶的“訪問令牌”（access token），即無需重新輸入密碼就能保持登錄服務(wù)的數(shù)字密碼。

這個(gè)數(shù)字密碼的功能就是幫用戶保存密碼，讓懶癌患者不需要每次登錄都輸入一遍賬戶密碼。有了這個(gè)令牌，黑客就可以直接得到接管用戶賬戶的權(quán)限，在不知道密碼的情況下登錄相關(guān)的Facebook帳戶，下載受害者的私人信息，照片和視頻。

一位Facebook代表補(bǔ)充了更多細(xì)節(jié)，這個(gè)漏洞是三個(gè)bug交織在一起的復(fù)雜漏洞，第一個(gè)bug讓一個(gè)本不該出現(xiàn)的視頻上傳功能冒了出來。第二個(gè)漏洞導(dǎo)致上傳工具生成了訪問token。第三個(gè)最關(guān)鍵，它讓token到了其他人手里，跟實(shí)際訪問者沒什么關(guān)系。這就意味著第三方有機(jī)會(huì)直接訪問用戶賬戶！

厲害了，這就是傳說中的令牌在此，速開城門？還不止能開一扇門，可能直接開了天窗。

話說這個(gè)事影響也不小，據(jù)小扎透露，周五早間約有5000萬個(gè)Facebook賬戶受到攻擊，黑客們試圖查詢其應(yīng)用程序界面，存取路徑，簡介，信息（姓名，性別，家庭住址等），但說實(shí)話，他們也不知道個(gè)人信息是否通過這個(gè)被泄露了。

目前這些賬戶的訪問權(quán)限已被重置，另外Facebook重置了額外4000萬個(gè)賬戶，也就是9000萬個(gè)賬戶需要重新輸入一遍登陸名（郵件或電話）和密碼。同時(shí)，F(xiàn)acebook 已經(jīng)暫時(shí)關(guān)閉了“View As”功能。

對一一臉懵逼的用戶來說也不用慌，這次被波及的用戶信息不包括密碼，所以用戶不需要重置密碼。

相比以前遮遮掩掩的態(tài)度，F(xiàn)acebook這次似乎有點(diǎn)正面剛的意思，雖然現(xiàn)在還不知道幕后黑客是誰，但主動(dòng)聯(lián)系了FBI準(zhǔn)備揪出這些別有用心的黑客。

只不過有意思的是有用戶發(fā)現(xiàn)了刪帖屏蔽事件，比如你在Facebook上發(fā)帖談?wù)撽P(guān)于這個(gè)漏洞會(huì)被屏蔽，在Facebook上分享相關(guān)新聞時(shí)也會(huì)被阻止，總之，就甭想著在臉書談這事了，就是不發(fā)文字，分享相關(guān)圖片也會(huì)被識(shí)別出來……

這件事似乎成了Facebook的敏感之處，圍觀群眾也在調(diào)侃，小扎很有口嫌體直之風(fēng)，嘴上說不介意，行動(dòng)卻很誠實(shí)。

參考來源：theregister，TechCrunch

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。