對小扎來說，又是多災多難的一個月。

繼不久前Twitter曝出修補了一個可能造成數(shù)以百萬計用戶私密消息被共享給第三方開發(fā)人員的漏洞，連累Facebook股價跟著短線跳水之后，9月28日，F(xiàn)acebook又雙叒叕曝出因安全漏洞遭到黑客攻擊，致近5000萬用戶信息泄露事件。消息傳出后，F(xiàn)acebook股價又跌了，跌幅從1.5%, 擴大至3.05%。最終報收于164.46美元，下跌2.59%。

真是男默女淚。

到底是怎么一回事？

據(jù)說這個漏洞是個歷史遺留問題。去年FB上線了一個改動并調整了用戶上傳視頻的技術細節(jié)。不巧的是，這個改動的代碼在“查看為（View As）功能里留下了漏洞。

這個功能本來活躍度并不高，但最近Facebook技術團隊發(fā)現(xiàn)調用它的請求暴增，這才引起了安全團隊的懷疑，并在本周二找到了這顆隱藏地雷。

Facebook 產(chǎn)品管理副總裁 Guy Rosen 特意寫了一篇博客，Rosen 表示 Facebook View As功能的代碼的確存在缺陷。

這個功能其實相當于開了第三人視角，畢竟FB內置的隱私設置太過復雜，說不準就打開了什么隱藏開關，良心玩家給了用戶一根金手指，可以自己隨時查看賬戶內容，就和你看別人視角是一樣的。

但問題也就在這，利用這個漏洞黑客竊取了用戶的“訪問令牌”（access token），即無需重新輸入密碼就能保持登錄服務的數(shù)字密碼。

這個數(shù)字密碼的功能就是幫用戶保存密碼，讓懶癌患者不需要每次登錄都輸入一遍賬戶密碼。有了這個令牌，黑客就可以直接得到接管用戶賬戶的權限，在不知道密碼的情況下登錄相關的Facebook帳戶，下載受害者的私人信息，照片和視頻。

一位Facebook代表補充了更多細節(jié)，這個漏洞是三個bug交織在一起的復雜漏洞，第一個bug讓一個本不該出現(xiàn)的視頻上傳功能冒了出來。第二個漏洞導致上傳工具生成了訪問token。第三個最關鍵，它讓token到了其他人手里，跟實際訪問者沒什么關系。這就意味著第三方有機會直接訪問用戶賬戶！

厲害了，這就是傳說中的令牌在此，速開城門？還不止能開一扇門，可能直接開了天窗。

話說這個事影響也不小，據(jù)小扎透露，周五早間約有5000萬個Facebook賬戶受到攻擊，黑客們試圖查詢其應用程序界面，存取路徑，簡介，信息（姓名，性別，家庭住址等），但說實話，他們也不知道個人信息是否通過這個被泄露了。

目前這些賬戶的訪問權限已被重置，另外Facebook重置了額外4000萬個賬戶，也就是9000萬個賬戶需要重新輸入一遍登陸名（郵件或電話）和密碼。同時，F(xiàn)acebook 已經(jīng)暫時關閉了“View As”功能。

對一一臉懵逼的用戶來說也不用慌，這次被波及的用戶信息不包括密碼，所以用戶不需要重置密碼。

相比以前遮遮掩掩的態(tài)度，F(xiàn)acebook這次似乎有點正面剛的意思，雖然現(xiàn)在還不知道幕后黑客是誰，但主動聯(lián)系了FBI準備揪出這些別有用心的黑客。

只不過有意思的是有用戶發(fā)現(xiàn)了刪帖屏蔽事件，比如你在Facebook上發(fā)帖談論關于這個漏洞會被屏蔽，在Facebook上分享相關新聞時也會被阻止，總之，就甭想著在臉書談這事了，就是不發(fā)文字，分享相關圖片也會被識別出來……

這件事似乎成了Facebook的敏感之處，圍觀群眾也在調侃，小扎很有口嫌體直之風，嘴上說不介意，行動卻很誠實。

參考來源：theregister，TechCrunch

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。