脸书5千万个资外泄 有「二多一不够」漏洞
▲ 脸书创办人暨执行长祖克柏(Mark Zuckerberg)。(图/达志影像/美联社)
社群媒体龙头脸书(Facebook)惊传资安出现漏洞,超过5千万用户个资疑似遭骇客窃取,许多资安专家建议,使用者立即修改密码,并开启脸书双重认证模式。但是KPMG安侯建业数位科技安全团队副总谢昀泽表示,使用者更改密码、或改为双认证,无法真正保护自身隐私安全。
脸书 ( Facebook)在国内时间9月28日晚间爆发史上最大的漏洞,导致千万使用者隐私又遭到巨大的威胁,媒体纷纷报导,要使用者立即修改密码,并开启脸书双重认证模式。
KPMG安侯建业数位科技安全团队副总谢昀泽执行表示,根据目前所搜集的本次事故所搜集的内外部情资与问题根因分析,针对本次脸书所出现的系统危机,使用者更改密码、或改为双认证,无法真正保护自身隐私安全。
谢昀泽补充,脸书使用者只有做好隐私自我管理,例如避免将有可能造成个人隐私侵害的图片、文字与连结资讯放在脸书上,并且少用脸书帐号进行其他系统验证,必要时断开脸书与其他APP或系统的帐号连接,其他系统也不要与脸书使用同一组帐密,才是根本的自保之道。
KPMG安侯建业数位科技安全团队协理邱述琛解释,这次的漏洞其实并不是单一漏洞所导致,而是一次组合了「二多一不够」三大漏洞:
一, 非必要功能的过「多」设计:提供脸书用户以脸友角度检视自我档案的检视(View As)功能,原本仅需检视功能,却保留了脸友上传影像的非必要功能,提供了本次遭受攻击的机会。
二, 非必要权限的过「多」赋予:2017年7月在更新影片上传程式码时,错误的在手机APP产生非必要的登入存取令牌(access tokens)。
三, 「不够」严谨的程式开发逻辑:提供脸书用户使用的检视(View As)功能中,多余的脸友上传影像功能,其登入存取令牌(access tokens)竟然是提供给用户的查找对象
邱述琛认为,在这一连串的不小心之下,导致骇客在网页上得以利用这些登入存取令牌(access tokens)登入他人的脸书帐号,根据脸书统计,受到影响的用户约友5,000万名,约占脸书帐户的5%。