臉書史上最大資安危機：漏洞存在超過一年，總受影響用戶超過 9000 萬！

臉書爆發史上最嚴重資安漏洞，導致超過 5000 萬名用戶帳號暴露在被入侵的風險中，然而臉書後知後覺，處理動作又慢半拍的狀況下，讓近期正在積極修復用戶信任、宣稱自己很安全的臉書，再次受到重大打擊。

駭客利用「零時漏洞」入侵臉書，影響上千萬帳號

此次事件可說是臉書史上最大規模的資安漏洞，連官方都喊罕見的發布了安全公告，主動說明了此次的事情。

根據臉書的公告與其他媒體的報導，駭客透過了「檢視角度（View as）」功能中的漏洞，取得了「存取權杖（Access Token）」資料，並可能藉此進入受影響者帳號查看相關個人資訊。

「檢視角度（View as）」的功能，是臉書過去推出的一個隱私工具，它可以讓使用者透過其他用戶的角度查看自己帳號呈現在特定用戶前的樣貌，讓用戶確認自己的那些資訊是否有被公開給特定對象。

不過這個照理說是用來保護隱私的工具，如今卻被駭客用來侵犯隱私，著實諷刺。

除此之外，臉書認為另外一個上傳生日祝賀影片的功能，也包含了類似的漏洞，一樣可以讓駭客取得權限，查看受影響者的帳號內容。

根據估計，此次因相關漏洞而受影響的臉書帳號高達 5000 萬個，另外還有超過 4000 萬名用戶的帳號也可能因此受到影響。

但這次事件最令人擔憂的點，在於漏洞存在的時間，以及臉書對於入侵程度的把握。

據調查，此次事件中駭客採用的漏洞，早在 2017 年 7 月就已存在，然而臉書直至 2018 年 9 月 25 日才發現相關漏洞，雖然展開了緊急修補作業，卻仍遲至 27 日才將相關問題修復完成，並在 28 日採其他應對措施。

除此之外，臉書在官方報告中坦言，由於他們才剛展開調查，目前他們無法確認駭客入侵的程度、帳號受影響的狀態，駭客的攻擊目的、攻擊者的身分等關鍵資訊，若他們在後續調查中有任何發現，他們也將會第一時間發布更新資訊告知用戶。

臉書表示，他們已經做了兩個緊急處置：

目前，所有的相關系統漏洞都已經修復完成，同時也暫時關閉了「檢視角度」功能，直到進一步的狀況明瞭。
針對受影響的 5000 萬名用戶，以及其他可能受牽連的 4000 萬名用戶，臉書已經強制登出這些帳號所有已登入的裝置，受影響的用戶將會被臉書要求重新登入帳號，並且在登入後收到相關的報告，告知事情始末。

針對第二點，台灣用戶在昨日（28）晚間也有許多人遭遇相關情況，但並非所有人都有收到相關的報告資訊，尚不確定是否是因為只有介面為英文的用戶才會收到報告的緣故。

臉書表示，他們已經通報相關調查單位，正在積極的調查事情始末。

同時，他們也發布了官方影片，解說相關事情始末（英文）：

https://www.facebook.com/facebook/videos/178485396378296/

對於受影響的用戶，或是沒有被登出，但是還是對自己帳號安全有疑慮的用戶，可以按照以下方式進一步加強帳號安全：

開啟臉書網頁，在右上方的下拉式清單中選擇「設定」，在設定頁面中選擇「帳號安全和登入」。
檢查「你登入時所在的位置」當中，是否有陌生的裝置或是登入位置。如果是受到影響的用戶，在被臉書登出並自行登入後，這邊應該會很乾淨到只有一兩個稍早自行登入的裝置；而沒受影響的用戶若是想更保險一點的話，可以展開清單，並點選清單右下角的「登出所有連線裝置」，手動重設所有認證。
還有疑慮的用路，可使用下方的「更改密碼」功能修改密碼，並且啟用「使用雙重驗證」功能，進一步保證帳號安全。

雖然，理論上本次駭客所使用的攻擊手段，可以繞過上述的所有安全機制，但是我們也不能排除駭客在入侵期間，已經預料到漏洞會被臉書修補，並且事前取得了受害帳號的其他資訊，作為日後漏洞修補完時，入侵特定帳戶的備案，因此若有疑慮的用戶，還是可以參照上方的說明，進一步保障用戶安全。

臉書近年來資安與隱私外洩爭議不斷，而臉書也正積極地想要透過各種改革，重新挽回用戶對臉書的信任，然而此次事件的爆發，恐怕只會再次重挫臉書的隱私安全形象，看來臉書要重得用戶的信任，恐怕還有很長一段路要走。

─ ─

（本文提供合作夥伴轉載，首圖來源：Flickr，CC Licensed。）

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.