一文看懂Facebook為何爆保安漏洞 Login功能令危機影響更廣更深

撰文:成依華
出版:更新:

醜聞多多的Facebook再爆出大新聞,網站出現保安漏洞,導致5000萬個戶口有遭入侵危機,公司急急補鑊。
為何Facebook會出現這個保安漏洞?用戶有甚麼危機?事實上,這次牽涉的登入保安問題,與過往賣資料、私隱外洩醜聞不同,影響範圍甚至超出Facebook,因不少用家透過Facebook戶口登入其他社交網站程式,包括Instagram、Spotify等,這些戶口也有可能遭到入侵。

Facebook行政總裁朱克伯格(Mark Zuckerberg)4月出席美國國會聽證會時,曾有國會議員問他:「Facebook有遭黑客入侵過嗎?」當時朱克伯格回答稱,Facebook在2013年曾遭惡意軟件攻擊,但尚未發生過嚴重的黑客入侵事件。

言猶在耳,Facebook周五(28日)就宣布有黑客成功找到Facebook的保安漏洞,令他們有能力入侵多達5000萬個戶口,結果Facebook要強制9000萬個戶口轉為登出狀態,以防黑客再有機可乘。雖然與Facebook每月22億個活躍用戶相比,5000萬個戶口不是多數,但數目已經足夠驚人。按朱格伯格形容,事件「非常嚴重」。

Facebook保安漏洞:公司近年爆出平台成為俄羅斯干預美國大選的工具、「劍橋分析」事件,還有對假新聞及仇恨言論採取放任態度等新聞。以朱克伯格為首的Facebook高層積極尋求挽回聲譽,但現在爆出保安危機。(VCG)

為何Facebook會爆保安漏洞?

Facebook這次爆出保安漏洞,源於一個稱為「View As」的功能,它是讓用戶在設定自己的Facebook頁面時,能夠預覽他人觀看自己Facebook的頁面是甚麼樣子,例如哪些資料可讓某位特定用戶看到、哪些看不到等。此功能本來並沒有問題,但在2017年7月時,Facebook改動了另一讓用戶修改影片的功能,令「View As」出現保安漏洞,讓黑客能夠竊取用戶的「存取令牌」(access tokens)。他們就是憑此進入到用戶帳號。這個「存取令牌」相當於用戶的數碼登錄代碼(Digital keys),讓用戶能夠在不需要再輸入密碼的情況下,繼續使用戶口。

Facebook自2017年7月以來,一直未得知出現保安漏洞,直至2018年9月中,Facebook發現網站出現有異常活動,才開始意識到這個問題。

Facebook保安漏洞:Facebook創辦人朱克伯格形容這次事件非常嚴重。(VCG)

Facebook在周二(25日)得悉有人利用此漏洞後,除了設法修補外,就先停止「View As」功能,然後重設大量用戶的「存取令牌」,包括已知受影響的5000萬名用戶的,以及另外4000萬個曾在2017年使用「View As」功能的用戶。

這些用戶在重設「存取令牌」後,將要重新登入戶口。換言之,若然用戶發現近日Facebook戶口自動遭登出,要重新輸入密碼,也就有可能是受影響用戶之一了。

黑客竊取了甚麼資料?

按Facebook的說法,攻擊者嘗試利用程式竊取用戶的一些個人檔案資料,例如是名字、性別、居住地方等,但目前看來應該沒有竊取到用戶在通訊程式的對話資料,也沒有信用卡資料遭盜取。

當然這只是Facebook在初步調查後的說法,未來可能有變。

Facebook保安漏洞:Facebook承認這次事件的影響範圍,可能包括受影響用戶在其他社交網站的戶口。(VCG)

更大的問題?其他社交戶口同受影響

隨着現今網絡愈見方便,用戶在Facebook存取大量個人資料,除了上傳相片、打卡外,更會在與朋友的對話間,可能透露過自己的私隱資料,例如是地址、證件號碼等。這些資料若然外洩,隨時有麻煩。

但這次Facebook事件更暴露一個問題,就是「Facebook Login」功能,這個功能讓用戶在其他社交網站,也一樣可以用Facebook戶口來登入,不用再另外註冊戶口,網站包括Tinder、Airbnb、Instagram、Spotify等。

按英國《電訊報》報道,Facebook周六(29日)承認這次黑客事件會影響「Facebook Login」功能,意味受影響用戶在其他社交網站存入的資料,一樣有危機。

在一般情況下,這種利用一個Facebook戶口、就能登入多個社交網站戶口的方法,帶給用戶方便,省卻用戶註冊新戶口的時間,但是一旦出事,一個戶口出現保安漏洞,危機也隨時蔓延其他戶口。

(綜合報道)