脸书爆发重大资安事件,攻击者可透过漏洞取得个人帐号的“access token(存取权限)”
,影响层级达9千万帐户之多!
从09/28晚间开始,相信大家都有发现脸书帐号、Messenger都被登出,必须重新登入才可
使用。有人怀疑是否被盗用帐号。结果…原来是脸书发生重大资讯安全事件。根据脸书官
方再09/28发出的 资讯安全更新报告 指出:
在美国时间09/25下午,工程师团队发现一个影响层级达5千万帐号之多的资安问题,这个
程式码漏洞发生于‘其他用户视角检视’功能,这个功能主要是让用户可以从其他帐号的
角度,检查自己个人动态所呈现的样貌及可被看见的内容。由于这个功能涉及‘程式权限
变化’,因此骇客利用这个程式码漏洞取得用户Access Token (存取权杖),这个权杖等
于是一把无须登入脸书就直接存取帐号功能与内容的钥匙。
目前脸书官方宣称已进行的防护作为:
1.修补漏洞,并通知执法部门。
2.重置已知受影响的5千万个帐号 (让所有access token失效),并预防性重置另外4千万
的帐号的存取权杖。
3.暂时关闭‘其他用户视角检视’功能。
第二个动作就是造成大家帐号被登出的原因。原本我们登入脸书后,之所以能持续使用,
就是因为在第一次输入帐密登入后,会取得这个access token 存取权杖,并储存在电脑
或者手机上,这样脸书才能持续判断是有权限的使用者本人正在使用,而不需每次使用脸
书都必须登入。
脸书特别说明这个安全漏洞起缘于2017年7月的一个影片上传功能更新,而在‘其他用户
视角检视’这个功能下被发掘到漏洞,算是功能交错下产生的不预期漏洞。不幸地,骇客
发现这个漏洞并取得一个access token存取权杖,然后以此帐号一个接一个的挖出更多用
户的access token。然而目前调查还在持续进行中,若影响层级有变化,脸书会即时更新
。
这次事件,因为骇客取得的是access token (存取权杖),而非使用者密码,所以使用
者无需更改密码...
资料来源:https://woment.com.tw/2954/facebook-security-issue-access-token/
脸书官方公告:https://newsroom.fb.com/news/2018/09/security-update/