對小扎來說，又是多災多難的一個月。

繼不久前Twitter曝出修補了一個可能造成數以百萬計用戶私密消息被共享給第三方開發人員的漏洞，連累Facebook股價跟著短線跳水之后，9月28日，Facebook又雙叒叕曝出因安全漏洞遭到黑客攻擊，致近5000萬用戶信息泄露事件。消息傳出后，Facebook股價又跌了，跌幅從1.5%, 擴大至3.05%。最終報收于164.46美元，下跌2.59%。

真是男默女淚。

到底是怎么一回事？

據說這個漏洞是個歷史遺留問題。去年FB上線了一個改動并調整了用戶上傳視頻的技術細節。不巧的是，這個改動的代碼在“查看為（View As）功能里留下了漏洞。

這個功能本來活躍度并不高，但最近Facebook技術團隊發現調用它的請求暴增，這才引起了安全團隊的懷疑，并在本周二找到了這顆隱藏地雷。

Facebook 產品管理副總裁 Guy Rosen 特意寫了一篇博客，Rosen 表示 Facebook View As功能的代碼的確存在缺陷。

這個功能其實相當于開了第三人視角，畢竟FB內置的隱私設置太過復雜，說不準就打開了什么隱藏開關，良心玩家給了用戶一根金手指，可以自己隨時查看賬戶內容，就和你看別人視角是一樣的。

但問題也就在這，利用這個漏洞黑客竊取了用戶的“訪問令牌”（access token），即無需重新輸入密碼就能保持登錄服務的數字密碼。

這個數字密碼的功能就是幫用戶保存密碼，讓懶癌患者不需要每次登錄都輸入一遍賬戶密碼。有了這個令牌，黑客就可以直接得到接管用戶賬戶的權限，在不知道密碼的情況下登錄相關的Facebook帳戶，下載受害者的私人信息，照片和視頻。

一位Facebook代表補充了更多細節，這個漏洞是三個bug交織在一起的復雜漏洞，第一個bug讓一個本不該出現的視頻上傳功能冒了出來。第二個漏洞導致上傳工具生成了訪問token。第三個最關鍵，它讓token到了其他人手里，跟實際訪問者沒什么關系。這就意味著第三方有機會直接訪問用戶賬戶！

厲害了，這就是傳說中的令牌在此，速開城門？還不止能開一扇門，可能直接開了天窗。

話說這個事影響也不小，據小扎透露，周五早間約有5000萬個Facebook賬戶受到攻擊，黑客們試圖查詢其應用程序界面，存取路徑，簡介，信息（姓名，性別，家庭住址等），但說實話，他們也不知道個人信息是否通過這個被泄露了。

目前這些賬戶的訪問權限已被重置，另外Facebook重置了額外4000萬個賬戶，也就是9000萬個賬戶需要重新輸入一遍登陸名（郵件或電話）和密碼。同時，Facebook 已經暫時關閉了“View As”功能。

對一一臉懵逼的用戶來說也不用慌，這次被波及的用戶信息不包括密碼，所以用戶不需要重置密碼。

相比以前遮遮掩掩的態度，Facebook這次似乎有點正面剛的意思，雖然現在還不知道幕后黑客是誰，但主動聯系了FBI準備揪出這些別有用心的黑客。

只不過有意思的是有用戶發現了刪帖屏蔽事件，比如你在Facebook上發帖談論關于這個漏洞會被屏蔽，在Facebook上分享相關新聞時也會被阻止，總之，就甭想著在臉書談這事了，就是不發文字，分享相關圖片也會被識別出來……

這件事似乎成了Facebook的敏感之處，圍觀群眾也在調侃，小扎很有口嫌體直之風，嘴上說不介意，行動卻很誠實。

參考來源：theregister，TechCrunch

雷鋒網雷鋒網(公眾號：雷鋒網)雷鋒網