臉書5千萬個資外泄 有「二多一不夠」漏洞
▲ 臉書創辦人暨執行長祖克柏(Mark Zuckerberg)。(圖/達志影像/美聯社)
社羣媒體龍頭臉書(Facebook)驚傳資安出現漏洞,超過5千萬用戶個資疑似遭駭客竊取,許多資安專家建議,使用者立即修改密碼,並開啓臉書雙重認證模式。但是KPMG安侯建業數位科技安全團隊副總謝昀澤表示,使用者更改密碼、或改爲雙認證,無法真正保護自身隱私安全。
臉書 ( Facebook)在國內時間9月28日晚間爆發史上最大的漏洞,導致千萬使用者隱私又遭到巨大的威脅,媒體紛紛報導,要使用者立即修改密碼,並開啓臉書雙重認證模式。
KPMG安侯建業數位科技安全團隊副總謝昀澤執行表示,根據目前所蒐集的本次事故所蒐集的內外部情資與問題根因分析,針對本次臉書所出現的系統危機,使用者更改密碼、或改爲雙認證,無法真正保護自身隱私安全。
謝昀澤補充,臉書使用者只有做好隱私自我管理,例如避免將有可能造成個人隱私侵害的圖片、文字與連結資訊放在臉書上,並且少用臉書帳號進行其他系統驗證,必要時斷開臉書與其他APP或系統的帳號連接,其他系統也不要與臉書使用同一組帳密,纔是根本的自保之道。
KPMG安侯建業數位科技安全團隊協理邱述琛解釋,這次的漏洞其實並不是單一漏洞所導致,而是一次組合了「二多一不夠」三大漏洞:
一, 非必要功能的過「多」設計:提供臉書用戶以臉友角度檢視自我檔案的檢視(View As)功能,原本僅需檢視功能,卻保留了臉友上傳影像的非必要功能,提供了本次遭受攻擊的機會。
二, 非必要權限的過「多」賦予:2017年7月在更新影片上傳程式碼時,錯誤的在手機APP產生非必要的登入存取令牌(access tokens)。
三, 「不夠」嚴謹的程式開發邏輯:提供臉書用戶使用的檢視(View As)功能中,多餘的臉友上傳影像功能,其登入存取令牌(access tokens)竟然是提供給用戶的查找對象
邱述琛認爲,在這一連串的不小心之下,導致駭客在網頁上得以利用這些登入存取令牌(access tokens)登入他人的臉書帳號,根據臉書統計,受到影響的用戶約友5,000萬名,約佔臉書帳戶的5%。