Facebook 近日發布聲明,指稱遭遇創辦以來最嚴重的駭客攻擊,造成 5 千萬筆用戶個資外洩,甚至包括創辦人馬克·祖克柏(Mark Zuckerberg)以及營運長雪柔·桑德伯格(Sheryl Sandberg)的帳戶。這場攻擊也讓駭客得以使用遭竊的帳號,登入用戶的 Instagram、Spotify 及 Airbnb 等其他社群平台。
駭客手法
攻擊者利用 Facebook「檢視角度(view as)」功能中的漏洞來入侵用戶帳戶。「檢視角度」是一種隱私檢視工具,Facebook 用戶可使用此工具,從其他朋友的角度來瀏覽自己的動態外觀。由於 Facebook 在 2017 年 7 月對影片上傳功能所做的修改,導致此漏洞的存在。
這個漏洞允許駭客獲取用戶的存取權杖(Access Token),無需重新輸入密碼,就能用他人帳號登入服務,進而取得他人的資料,包括名字、朋友及家人的出生年月日,以及私人照片。這些資訊可能被不當使用。
事後餘波
事後 Facebook 聲明已修復該漏洞,「檢視角度」目前已經關閉使用; 5 千萬受影響帳戶的存取權杖已經重置;為求保險起見,Facebook 也將未受影響的 4 千萬個帳戶重置存取權杖。本次受影響的帳戶會被強制登出 Facebook,重新登入後會出現一則由 Facebook 發出的動態消息,告知用戶事件始末。Facebook 表示所有用戶均不需更改密碼,他們正與執法單位合作來找出事件元凶,但截至目前為止仍不清楚幕後黑手或攻擊從何而來。
根據今年五月生效的歐盟資料保護規範(General Data protection Regulation,GDPR),Facebook 已將此事件通報其歐洲監管機構,總部位於愛爾蘭的資料保護委員會(Data Protection Commission)。Facebook 若被查到未採取適當的措施來保護用戶資料,極有可能被懲處巨額罰款。
參考資料:
- Heaven, D., (2018, October 1). Massive Facebook data breach left 50 million accounts exposed. NewScientist
- Brewster, T., (2018, September 29). How Facebook Was Hacked And Why It’s A Disaster For Internet Security. Forbes
- Leskin, P., (2018, September 28). Facebook announced it got hacked and 50 million accounts were compromised. Here’s how to tell if you were affected. Business Insider