Facebook 系統漏洞遭駭，5 千萬筆用戶個資恐外洩

Facebook 近日發布聲明，指稱遭遇創辦以來最嚴重的駭客攻擊，造成 5 千萬筆用戶個資外洩，甚至包括創辦人馬克·祖克柏（Mark Zuckerberg）以及營運長雪柔·桑德伯格（Sheryl Sandberg）的帳戶。這場攻擊也讓駭客得以使用遭竊的帳號，登入用戶的 Instagram、Spotify 及 Airbnb 等其他社群平台。

駭客手法

攻擊者利用 Facebook「檢視角度（view as）」功能中的漏洞來入侵用戶帳戶。「檢視角度」是一種隱私檢視工具，Facebook 用戶可使用此工具，從其他朋友的角度來瀏覽自己的動態外觀。由於 Facebook 在 2017 年 7 月對影片上傳功能所做的修改，導致此漏洞的存在。

這個漏洞允許駭客獲取用戶的存取權杖（Access Token），無需重新輸入密碼，就能用他人帳號登入服務，進而取得他人的資料，包括名字、朋友及家人的出生年月日，以及私人照片。這些資訊可能被不當使用。

[related-post url=”https://tomorrowsci.com/technology/%e9%a6%ac%e6%96%af%e5%85%8b%e8%ad%a6%e5%91%8a-%e9%ab%98%e7%b4%9a%e4%ba%ba%e5%b7%a5%e6%99%ba%e6%85%a7-%e5%8f%af%e4%bb%a5%e7%99%b1%e7%98%93%e7%b6%b2%e9%9a%9b%e7%b6%b2%e8%b7%af/”]

事後餘波

事後 Facebook 聲明已修復該漏洞，「檢視角度」目前已經關閉使用； 5 千萬受影響帳戶的存取權杖已經重置；為求保險起見，Facebook 也將未受影響的 4 千萬個帳戶重置存取權杖。本次受影響的帳戶會被強制登出 Facebook，重新登入後會出現一則由 Facebook 發出的動態消息，告知用戶事件始末。Facebook 表示所有用戶均不需更改密碼，他們正與執法單位合作來找出事件元凶，但截至目前為止仍不清楚幕後黑手或攻擊從何而來。

根據今年五月生效的歐盟資料保護規範（General Data protection Regulation，GDPR），Facebook 已將此事件通報其歐洲監管機構，總部位於愛爾蘭的資料保護委員會（Data Protection Commission）。Facebook 若被查到未採取適當的措施來保護用戶資料，極有可能被懲處巨額罰款。

 

參考資料：

1. Heaven, D., (2018, October 1). Massive Facebook data breach left 50 million accounts exposed. NewScientist
2. Brewster, T., (2018, September 29). How Facebook Was Hacked And Why It’s A Disaster For Internet Security. Forbes
3. Leskin, P., (2018, September 28). Facebook announced it got hacked and 50 million accounts were compromised. Here’s how to tell if you were affected. Business Insider