AD
今天早上,Facebook披露了一个广泛存在的安全漏洞,可能会让黑客或其他恶意第三方通过收集安全令牌来访问受影响用户的帐户。该漏洞影响了多达5000万人,而且Facebook表示,它已经强行让大约9000万用户今天完全重新登录他们的帐户,以确保安全。
facebook官方博客公告
Facebook表示,其工程团队于9月25日注意到了这一问题,但Facebook负责产品管理的副总裁盖伊罗森表示,目前尚不清楚帐户是否遭到破坏,问题何时被利用。
扎克伯格的帖子
“周二,我们发现攻击者利用技术漏洞窃取访问令牌,这将允许他们登录Facebook上大约5000万人的帐户,”首席执行官马克扎克伯格在其个人Facebook页面的帖子中写道。“我们还不知道这些帐户是否被滥用,但我们会继续研究这个问题,并会在我们了解更多时更新。”
FB的股票在消息发布后,应声下跌3%,现在有所反弹。
Facebook这个漏洞的大概原理
Facebook这个漏洞出在 “View As“ 查看身份这个功能上,该功能可让您以其他用户或者公众的方式查看自己的个人资料,即别人眼里我是什么样子的。但是这个功能存在一个漏洞允许黑客或者恶意程序获取访问令牌。这就很要命,能够让黑客或者第三方直接控制你的账号。
authentication and authorization
(来不及画可能的流程图了,先借用这个图)按照FB的说法就是那个acess token可以直接leak出去,也就是说黑客不需要知道你的用户名密码,就能干坏事。
Facebook称,目前该漏洞意境被修复并告知了执法部门。但Facebook表示,目前还不清楚黑客的身份和来源,还没有来得及充分评估攻击的范围。该公司也正处于调查的开始阶段。
Facebook在前CSO Alex Stamos上个月离开公司之后,Facebook的一个紧迫问题是没有首席安全官。Facebook表示不会填补CSO的角色,而是重组其安全组织。
这个漏洞怎么发现的?有人要直播删除扎克伯格的账号?
就在这个官方的公告发布的前几天,有个华裔白帽子黑客张启元Chang Chi-yuan扬言要直播删除扎克伯格的facebook的账号。
如果是阿猫阿狗威胁威胁就算了,可惜这个人是个非常有credit的黑客。此人在 2016 Line bugbash奖赏名人堂”中被列为“特殊贡献者”。
他曾经因为入侵交通系统、只花 1 元新台币购买了一张车票,而被当地公交公司给提告了。而且他还公布了 Facebook 对其漏洞报告的回应函截图。
facebook给他的回复
这个事情就非常非常serious了,外媒大量报道了这个事情, FB也真的发现了严重漏洞。他今天在FB上写了一段告白,说自己不直播了。
facebook还没有直接公布这个bug怎么发现的,View As只是那个最最关键点:把access token leak出来的地方。但是这个安全漏洞利用还是比较困难的。
此攻击利用了我们代码中多个问题。它源于我们在2017年7月对视频上传功能所做的更改,该功能影响了“查看为”。攻击者不仅需要找到此漏洞并使用它来获取访问令牌,他们还必须从该帐户转到其他人偷别人的token。
既然他有自信直播delete,那么他应该还有几个小的漏洞组合起来,大大提高了这个bug的可利用程度。具体细节还要看FB后面的官方细节公布。
他让我想起了,陈盈豪,现在应该也是个油腻的大叔了吧。
本文首发于微信公众号:西雅图雷尼尔。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
