[情報] 臉書發生資安漏洞，主動登出會員防範問題

看板Facebook (臉書)作者star1231 (只為家人)時間7年前 (2018/09/29 05:37)推噓6(6推 0噓 4→)

留言10則, 8人參與討論串1/1

臉書爆發重大資安事件，攻擊者可透過漏洞取得個人帳號的「access token(存取權限)」，影響層級達9千萬帳戶之多！從09/28晚間開始，相信大家都有發現臉書帳號、Messenger都被登出，必須重新登入才可使用。有人懷疑是否被盜用帳號。結果…原來是臉書發生重大資訊安全事件。根據臉書官方再09/28發出的資訊安全更新報告指出：在美國時間09/25下午，工程師團隊發現一個影響層級達5千萬帳號之多的資安問題，這個程式碼漏洞發生於『其他用戶視角檢視』功能，這個功能主要是讓用戶可以從其他帳號的角度，檢查自己個人動態所呈現的樣貌及可被看見的內容。由於這個功能涉及『程式權限變化』，因此駭客利用這個程式碼漏洞取得用戶Access Token (存取權杖），這個權杖等於是一把無須登入臉書就直接存取帳號功能與內容的鑰匙。目前臉書官方宣稱已進行的防護作為： 1.修補漏洞，並通知執法部門。 2.重置已知受影響的5千萬個帳號（讓所有access token失效），並預防性重置另外4千萬的帳號的存取權杖。 3.暫時關閉『其他用戶視角檢視』功能。第二個動作就是造成大家帳號被登出的原因。原本我們登入臉書後，之所以能持續使用，就是因為在第一次輸入帳密登入後，會取得這個access token 存取權杖，並儲存在電腦或者手機上，這樣臉書才能持續判斷是有權限的使用者本人正在使用，而不需每次使用臉書都必須登入。臉書特別說明這個安全漏洞起緣於2017年7月的一個影片上傳功能更新，而在『其他用戶視角檢視』這個功能下被發掘到漏洞，算是功能交錯下產生的不預期漏洞。不幸地，駭客發現這個漏洞並取得一個access token存取權杖，然後以此帳號一個接一個的挖出更多用戶的access token。然而目前調查還在持續進行中，若影響層級有變化，臉書會即時更新。這次事件，因為駭客取得的是access token （存取權杖），而非使用者密碼，所以使用者無需更改密碼... 資料來源:https://woment.com.tw/2954/facebook-security-issue-access-token/ 臉書官方公告：https://newsroom.fb.com/news/2018/09/security-update/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.34.92.229 ※ 文章網址: https://www.ptt.cc/bbs/Facebook/M.1538170676.A.8B8.html ※ 編輯: star1231 (114.34.92.229), 09/29/2018 05:46:19