脸书( Facebook)在9月28日晚上爆出史上最大漏洞攻击,因为更新视频上传功能程序代码出现开采漏洞,导致全球至少5,000万名脸书帐户信息恐遭黑客窃取。然而,去年7月脸书就存在这个重大安全漏洞,但直到25日周二下午(美国当地时间)脸书才发现,并隔了3天,才在周五晚上发布公告披露有这个开采漏洞,动作显然是慢半拍。尽管脸书创办人暨首席执行官扎克伯格(Mark Zuckerberg)亲上火线释疑,说明整起攻击事件的始末。不过,目前仍无法确定受黑的脸书帐户个人信息,是否已遭到黑客恶意滥用,以及有无其他未爆漏洞仍未发现。
9月28日周五深夜,正当准备迎接周末之际,却有许多脸书用户怨声载道,抱怨自己帐户无预警被强制注销,甚至也有不少用户纷纷上网留言反应没办法上脸书,直到隔了一段时间,才又可以重新登录,但是必须要重新输入密码,无法自动登录。一旦重新登录后,个人动态消息上方会跳出一段消息,告知强制注销原因,是因为遭遇安全问题,因而传出脸书可能遭受黑客网络攻击。
脸书随后也罕见通过官方博客发布安全更新公告,证实遭到黑客开采漏洞攻击,导致5千万名脸书帐户受影响,脸书首席执行官扎克伯格更在29日凌晨1点在个人脸书发文,说明整起攻击事件的始末。
脸书说明,这个开采漏洞,是来自于去年7月更新视频上传功能的程序代码时出现的安全漏洞,让黑客得以经由此漏洞,间接利用脸书页面特定用户查看角度(View As)功能,取得脸书用户登录访问令牌(access tokens),token 可以让用户每次登录时能自动登录,不需要重新输入帐密才能登录,黑客取得token后,等于是,就能绕过登录验证机制,进而掌控用户管理权限,窃取个人信息。
但是,直到美国当地时间9月25日周二下午,脸书工程团队才发现有这个安全漏洞问题,脸书安全部门接获通报随即展开调查,并同时通报执法机关,也紧急展开漏洞修补作业。但是,直到3天后,也就是周五晚上,脸书才将该漏洞修补完成。
脸书也同时统计受到此漏洞影响的用户数,目前已知至少有5,000万个脸书帐户受影响,若以每个月脸书活跃用户10亿人估算,这也意味着,平均每100人就有5人拥有的个人脸书帐户,可能已遭到黑客挟持。
脸书首席执行官扎克伯格也亲自在个人脸书发文表示,目前已采取多项紧急补救措施,首先是已将该漏洞修补完成,以防止黑客窃取更多用户个人信息;其次,是针对这些受影响的脸书帐户访问token进行全面重置,因此,部分用户会被自动注销,必须要重新输入密码才能再次登录。另外也暂时关闭View As功能,并且他也强调,基于安全起见,针对漏洞开采期间,曾使用View As功能的脸书用户,接下来也将会强制要求他们注销,以确保安全。预估至少还有4,000万名,或甚至更多用户,之后都需要重新注销再登录。
不过,扎克伯格也坦承,目前无法得知这些受黑帐户的个人信息,是否已遭到黑客利用。脸书也表示,目前仍在调查初期阶段,相关安全单位仍在持续调查,有无其他潜在重大安全漏洞,仍未被发现。
然而,距离今年4月脸书8,700万个人信息泄漏风波,仅过不到半年,历经了营收、用户成长放缓,以及股价重挫等多重打击,这次爆出的重大漏洞攻击事件,对脸书无疑是雪上加霜。