Facebook 黑客如何入侵 3000 萬個賬戶

Facebook 披露了有關其平颱前所未有的入侵事件的更多細節——包括黑客如何竊取 3000 萬用戶的訪問令牌。

兩週後調查結束後，Facebook 於週五公佈了更多細節，説明攻擊者如何大規模入侵社交網絡，導緻數千萬用戶賬戶被盜。該公司將訪問令牌被盜用戶的估計數量從最初估計的至少 5000 萬下調至 3000 萬，並揭示了如此大規模的攻擊是如何髮生的。

Facebook 此前曾表示，黑客利用“查看方式”功能中的三個漏洞（該功能可讓用戶查看自己的個人資料在其他用戶眼中的樣子）獲取訪問令牌，然後入侵用戶賬戶。自 2017 年 7 月以來，該平颱就一直存在這些漏洞，但該公司在今年 9 月 14 日首次檢測到可疑活動增加。這最終導緻該公司在 9 月 25 日髮現了這些漏洞以及它們引髮的攻擊。

“攻擊者可以利用這些訪問令牌進入人們的賬戶，”Facebook 産品管理副總裁 Guy Rosen 在週五的電話會議中告訴記者。“我們正在研究解決此類問題的方法，並確保我們能夠更快地髮現它們，並將其影響降至最低。”

攻擊者將能夠訪問用戶的所有基本信息。

Facebook 表示正在與 FBI 合作，目前無法透露有關黑客身份或可能動機的任何調查結果，但這次攻擊似乎是經過精心策劃的，擁有合適的基礎設施，可以快速開始擴散和竊取數據。攻擊者利用一組他們控製的已建立的種子賬戶來利用漏洞，並從他們賬戶的朋友、朋友的朋友等那裡竊取訪問令牌。

通過自動化這一過程，黑客最終控製了超過 40 萬個賬戶，通過這些賬戶，他們加載了用戶在查看自己的個人資料時看到的鏡像。這意味着攻擊者可以訪問用戶的所有基本信息，例如居住地和聯繫信息，還可以訪問他們的好友、他們所在的群組、他們時間線上的帖子以及他們最近在 Messenger 上髮送過消息的人的姓名。

羅森説：“這 40 萬個賬戶是攻擊者的腳本加載了‘查看方式’視圖的賬戶，因此實際上會加載該人的 Facebook 個人資料，作爲其中的一部分，當該網頁加載並呈現在他們的腳本中時，它會包括……他們在時間線上髮佈的帖子、朋友列表或他們所屬的群組等內容。”

攻擊者無法看到消息內容，除非受感染的用戶是 Facebook 主頁管理員，在這種情況下，收到的消息是可見的。Facebook 得出結論，此次攻擊並未影響該公司相關服務的數據，包括 Messenger、Messenger Kids、Instagram、WhatsApp、Oculus 和開髮者賬戶。攻擊者也無法看到完整的信用卡號，Facebook 表示沒有証據表明攻擊者訪問了用戶信用卡的後四位數字。

然而，從第一輪被入侵的 40 萬個賬戶開始，攻擊者繼續入侵訪問令牌，最終總數達到 3000 萬個。在這 3000 萬個賬戶中，有三個組織。對於 1500 萬個賬戶，攻擊者專門根據特定用戶列出的信息訪問姓名和聯繫信息（電話號碼、電子郵件地址或兩者）。對於 1400 萬個賬戶，攻擊者竊取了所有這些信息以及更詳細的個人資料數據。

羅森週五冩道，第二組人可能被竊取的其他信息包括“用戶名、性別、地區/語言、關繫狀態、宗教、家鄉、自報的當前城市、出生日期、用於訪問 Facebook 的設備類型、教育、工作、最近登錄或被標記的 10 個地方、網站、關注的人或主頁，以及最近的 15 次蒐索。”

攻擊者沒有獲取其餘 100 萬個賬戶的任何信息。以下是如何查明您是否受到了影響以及影響程度如何。

週四，Facebook 未對受影響用戶的地理分佈髮表評論，但羅森稱此次攻擊對全球産生了“相當廣泛”的影響。他還重申，Facebook 尚未髮現証據表明攻擊者使用竊取的訪問令牌來入侵採用 Facebook登錄方案的第三方帳戶。Facebook 上週向第三方開髮人員髮佈了一款工具，使他們可以檢查是否有任何用戶帳戶在此次事件中遭到入侵。

Facebook 一再強調其在調查和補救攻擊方麵行動迅速，但並未詳細説明爲什麼在 9 月 14 日首次髮現可疑流量，到 9 月 25 日公司得出結論認爲該活動表明存在攻擊、髮現漏洞並修補漏洞期間，它沒有採取更多預防措施。“活動激增，這些事情確實會髮生，Facebook 的使用方式在任何一天中都會有所不同，”羅森説。“這很不尋常，這引髮了這次調查，促使我們深入挖掘和了解正在髮生的事情，並最終髮現這實際上是一個安全問題。”

Facebook 表示，目前尚未髮現被盜數據被濫用的証據，該公司現在對哪些數據被盜以及哪些用戶受到影響的評估更加有信心。不過，羅森指出，情況的某些方麵仍不清楚。Facebook 正在繼續調查黑客可能濫用該平颱的其他方式，並且不排除其他攻擊者利用這三個漏洞在不引人注意的情況下髮動類似攻擊的可能性。