Facebook上周刚刚承认,一个不知名的黑客或一群黑客利用其社交媒体平台中的零日漏洞,允许他们窃取超过5000万个账户的秘密访问令牌。在周五发布的一篇简短的博客文章 中 ,Facebook透露其安全团队在几天前(9月25日)发现了这次攻击,他们仍在调查安全事件。
该漏洞的技术细节尚未透露,现已由Facebook修补,该漏洞存在于“查看为”功能中,该功能允许用户查看其他Facebook用户访问您的个人资料时会看到的内容。
据社交媒体巨头称,该漏洞允许黑客窃取秘密访问令牌,然后可以直接访问用户的私人信息,而无需原始帐户密码或验证双因素身份验证码。秘密访问令牌“相当于让人们登录Facebook的数字密钥,因此他们无需在每次使用应用程序时重新输入密码。”
为了防止其用户的帐户,Facebook已经为近5000万受影响的Facebook帐户和另外4000万个帐户重置了访问令牌,作为预防措施。
Facebook说:“我们非常认真地对待这一点,并希望让每个人都知道发生了什么以及我们为保护人们的安全而采取的立即行动。”
“因此,大约有9000万人现在必须重新登录Facebook或任何使用Facebook登录的应用程序。在他们重新登录后,人们会在他们的新闻Feed的顶部收到通知,解释什么发生“。
由于调查仍处于早期阶段,Facebook尚未确定攻击者是否滥用了5000万个帐户的被盗访问令牌,或者是否有任何信息被访问。自从剑桥分析公司(Cambridge Analytica)误用了8700 万 Facebook 用户的 数据以帮助唐纳德特朗普在2016年赢得美国总统职位以来,Facebook已经受到严重打击剑桥分析公司丑闻导致公众强烈要求立法者让Facebook对其数据负责,引发了有关Facebook是否可以信任保护其 20 亿用户 的个人数据的问题 。