Facebook梅开二度，5000万账户信息泄露，股价跌超3%

xiannv 2128天前

在9月25日星期二下午，Facebook团队发现了一个影响近5000万个帐户的安全问题。Facebook表示非常重视这个问题，并立即采取了行动。

Facebook调查显示，攻击者利用Facebook代码中的一个漏洞影响了“View As”这一功能，此功能可以让人们用访客视角了解他人在自己的个人主页能查看哪些内容，也可以以特定用户视角查看，在字段中输入他们的姓名按回车即可。这一功能的本意是为用户提供更完善的隐私管理。这个漏洞允许他们窃取Facebook访问令牌，然后用来接管人们的帐户。访问令牌相当于使人们登录到Facebook的数字密钥，因此他们无需在每次使用应用程序时重新输入密码。

Facebook产品管理副总裁盖伊罗森说，黑客还试图从Facebook的系统中收集人们的私人信息，包括姓名，性别和家乡。

Facebook采取的行动

首先，Facebook修复了漏洞并通知了执法部门。

其次，Facebook重置了他们知道受影响的近5000万个帐户的访问令牌，以保护他们的安全。他们还采取了预防措施，重新设置了去年受到“View As”查询的另外4000万个帐户的访问令牌。因此，现在大约有9000万人需要重新登录Facebook或任何使用Facebook登录的应用程序，但是并不需要修改密码。重新登录后，人们会在新闻Feed的顶部收到通知，说明发生了什么。最后，我们在进行全面的安全审核时暂时关闭了“查看为”功能。

于2018年9月28日下午1:08更新

第三，我们在进行彻底的安全审查时暂时关闭了“View As”功能。

此攻击利用了我们代码中多个问题的复杂交互。它源于我们在2017年7月对视频上传功能所做的更改，促使人们上传“生日快乐”视频，该功能影响了“View As”。攻击者不仅需要找到此漏洞并使用它来获取访问令牌，还必须从该帐户向其他帐户转移，以窃取更多的令牌。

技术细节

本周，Facebook发现外部用户攻击了我们的系统并利用了一个漏洞，当我们渲染“View As”功能的特定组件时，该漏洞在HTML中暴露了用户账户对Facebook的访问令牌。该漏洞是三个不同的bug相互作用的结果：

第一：View As是一种隐私功能，可让用户以他人视角查看自己的个人资料。View As应该是一个仅查看界面。但是，对于一种类型的设计（允许其他用户将内容发布到Facebook）—— 特别是允许人们祝福他们的朋友生日快乐的功能 —— View As错误地提供了发布视频的机会。据Facebook称，这不应该发生，但有时会因为一个bug而发生。

第二：2017年7月推出的新版本的视频上传器（由于第一个bug而出现的界面）错误地生成了具有Facebook移动应用程序权限的访问令牌，使他们能够访问用户的帐户。

第三：当视频上传器作为View As的一部分出现时，它生成的访问令牌不是以您作为查看者，而是您正在查找的用户。

正是这三个bug的组合成了一个漏洞：当使用“View As”功能用朋友的身份查看您的个人资料时，代码并没有删除让人们祝你生日快乐的功能；视频上传器会在不应该有的情况下生成访问令牌; 当生成访问令牌时，它不是以您的身份，而是被查找的人的身份。然后，该页面的HTML中提供了该访问令牌，攻击者可以将其提取并利用以另一个用户身份登录。

然后，攻击者可以从该访问令牌转到其他帐户，执行相同的操作并获得进一步的访问令牌。