小扎不哭!FB又陷数据泄露风波,9000万用户受影响
对小扎来说,又是多灾多难的一个月。
继不久前Twitter曝出修补了一个可能造成数以百万计用户私密消息被共享给第三方开发人员的漏洞,连累Facebook股价跟着短线跳水之后,9月28日,Facebook又双叒叕曝出因安全漏洞遭到黑客攻击,致近5000万用户信息泄露事件。消息传出后,Facebook股价又跌了,跌幅从1.5%, 扩大至3.05%。最终报收于164.46美元,下跌2.59%。
真是男默女泪。
到底是怎么一回事?
据说这个漏洞是个历史遗留问题。去年FB上线了一个改动并调整了用户上传视频的技术细节。不巧的是,这个改动的代码在“查看为(View As)功能里留下了漏洞。
这个功能本来活跃度并不高,但最近Facebook技术团队发现调用它的请求暴增,这才引起了安全团队的怀疑,并在本周二找到了这颗隐藏地雷。
Facebook 产品管理副总裁 Guy Rosen 特意写了一篇博客,Rosen 表示 Facebook View As功能的代码的确存在缺陷。
这个功能其实相当于开了第三人视角,毕竟FB内置的隐私设置太过复杂,说不准就打开了什么隐藏开关,良心玩家给了用户一根金手指,可以自己随时查看账户内容,就和你看别人视角是一样的。
但问题也就在这,利用这个漏洞黑客窃取了用户的“访问令牌”(access token),即无需重新输入密码就能保持登录服务的数字密码。
这个数字密码的功能就是帮用户保存密码,让懒癌患者不需要每次登录都输入一遍账户密码。有了这个令牌,黑客就可以直接得到接管用户账户的权限,在不知道密码的情况下登录相关的Facebook帐户,下载受害者的私人信息,照片和视频。
一位Facebook代表补充了更多细节,这个漏洞是三个bug交织在一起的复杂漏洞,第一个bug让一个本不该出现的视频上传功能冒了出来。第二个漏洞导致上传工具生成了访问token。第三个最关键,它让token到了其他人手里,跟实际访问者没什么关系。这就意味着第三方有机会直接访问用户账户!
厉害了,这就是传说中的令牌在此,速开城门?还不止能开一扇门,可能直接开了天窗。
话说这个事影响也不小,据小扎透露,周五早间约有5000万个Facebook账户受到攻击,黑客们试图查询其应用程序界面,存取路径,简介,信息(姓名,性别,家庭住址等),但说实话,他们也不知道个人信息是否通过这个被泄露了。
目前这些账户的访问权限已被重置,另外Facebook重置了额外4000万个账户,也就是9000万个账户需要重新输入一遍登陆名(邮件或电话)和密码。同时,Facebook 已经暂时关闭了“View As”功能。
对一一脸懵逼的用户来说也不用慌,这次被波及的用户信息不包括密码,所以用户不需要重置密码。
相比以前遮遮掩掩的态度,Facebook这次似乎有点正面刚的意思,虽然现在还不知道幕后黑客是谁,但主动联系了FBI准备揪出这些别有用心的黑客。
只不过有意思的是有用户发现了删帖屏蔽事件,比如你在Facebook上发帖谈论关于这个漏洞会被屏蔽,在Facebook上分享相关新闻时也会被阻止,总之,就甭想着在脸书谈这事了,就是不发文字,分享相关图片也会被识别出来……
这件事似乎成了Facebook的敏感之处,围观群众也在调侃,小扎很有口嫌体直之风,嘴上说不介意,行动却很诚实。
参考来源:theregister,TechCrunch
雷锋网雷锋网(公众号:雷锋网)雷锋网
小扎不哭!FB又陷数据泄露风波,9000万用户受影响相关推荐
- 不学中国话了,中年小扎要聚焦“一个年代的变化”
西雅图IT圈:seattleit [今日作者]Dexter 读书巨慢理事会会长 时光荏苒,岁月穿梭 当年科技圈最会卖人设的"进步青年"CEO小扎,如今也是个牵狗抱娃,陪老婆逛Cos ...
- 沈腾自比元宇宙DogKing,小扎变身「光头强」!Meta推出3D化身
视学算法报道 编辑:桃子 拉燕 [新智元导读]继联手英伟达推出超级计算机后,Meta布局元宇宙的下一个大动作,为旗下平台加入3D头像.此外,Meta将在周三公布第四季度业绩.全力奔向元宇宙,M ...
- Facebook全球宕机6小时!小扎损失60亿,15亿用户数据被出售
转自:新智元 来源:verge 编辑:yaxin Facebook崩了,推特高傲尽显.美东时间10月4日上午11:45左右,社交平台Facebook.Ins,以及WhatsApp陷入大规模瘫痪,宕机近 ...
- 小扎展示Facebook十年产品路线图,跳票的智能音箱又有新爆料
夏乙 发自 凹非寺 量子位 出品 | 公众号 QbitAI 今天凌晨,Facebook一年一度的开发者大会F8第一天,这家公司为旗下的App们都推出了不少新功能. 不过,坊间传闻一直非常活跃的Face ...
- 小扎不要「脸」了?Facebook正式改名Meta!买它,满仓元宇宙
新智元报道 来源:Facebook 编辑:编辑部 不用猜了... Facebook正式宣布改名,META! 美西时间上午11点,在Facebook 一年一度的Connect大会上,扎克伯格正式 ...
- 这款AI语音模型让派大星承认自己是钢铁侠,造假小扎对口型,火到挤爆服务器|在线可玩...
行早 发自 凹非寺 量子位 报道 | 公众号 QbitAI 你敢信,派大星当众宣称自己是钢铁侠,漫威宇宙和比基尼海滩梦幻联动: I am Iron Man! 这深沉憨厚又有点喜感的嗓音,是派大星本星没 ...
- 《打造Facebook》书摘(1):CEO小扎
一.小扎的出身 小扎,犹太人,牙医的儿子,一直在很好的生活环境和教育环境下生长. 毕业于美国前十名的菲利普斯·埃克塞特私立高级中学,考入哈佛大学后由于创办facebook而辍学.一直处于上流社会圈子. ...
- 猜对今年ICO大溃败与BCH算力战,小扎铁哥们能猜对明年的房地产区块链吗?
参与 | 贾瑞婷 编辑 | 波波 平安夜快乐,区块链的爱好者们! 明天是圣诞节,区块链世界历经坎坷的 2018 年终于快要熬到头了. 每当这个时候,我们总会忍不住去回顾一下自己刚刚渡过的这些难关,同时 ...
- 小扎、马斯克宣战ChatGPT!Meta和推特组建顶级AI团队,硅谷硝烟四起
[导读]ChatGPT大厂混战,怎能少得了Meta和推特?近日,小扎和马斯克也官宣下场,要做自己的ChatGPT了. ChatGPT的爆火,直接改变了整个硅谷大厂的格局. 微软的步步出招,倒逼谷歌走出 ...
最新文章
- 我的Android进阶之旅------解决错误: java.util.regex.PatternSyntaxException: Incorrect Unicode property...
- 关于C#泛型列表ListT的基本用法总结
- python的函数的定义与调用
- gorm物理删除:unscoped用法
- 【nginx】nginx 简介 基本概念 介绍
- 实训汇编语言设计——16位数拆分为4组
- 怎么注册DLL到注册表
- Axure授权码,2021年11月11日亲测有效
- win10系统安装jdk8简易教程
- 【设计模式】模板方法模式
- 三种交换技术及其比较
- html5 模仿语音聊天气泡,HTML5实现对话气泡动画方法
- 14.0高等数学五- 函数的幂级数展开(泰勒级数或者麦克劳林级数)
- 大专毕业,从6个月开发转入测试岗位的一些感悟——写在测试岗位3年之际
- 判断网站被降权的方法
- python安装lap_AP 升级到 LAP,或 LAP 降到 AP 的方法
- ConcurrentHashMap的实现原理
- 六、基于Verilog的信号发生器DDS的设计
- 网站建设技术回顾:动态网页
- 全球与中国激光功率计市场深度研究分析报告
热门文章
- 数字签名 那些密码技术_密码学中的数字签名
- Java GregorianCalendar computeTime()方法与示例
- java异常体系_JAVA异常体系结构详解
- gz格式linux怎么打开,linux 下载解压gz文件怎么打开
- iTunes只能装C盘吗_电脑技巧分享:安装win10系统时系统盘C盘分区多大空间适合?...
- hdu 3590——PP and QQ
- 第一次训练赛的相关总结和教训!
- 数据可视化【三】基本概念
- Find The Multiple——简单搜索+大胆尝试
- 单例模式及C++实现代码