我們的工程團隊在九月 25 日(週二)下午發現了影響「檢視角度」功能的安全問題,這項功能提供用戶預覽從他人角度看到的個人檔案。駭客利用我們程式碼中的漏洞竊取了 Facebook 存取權杖 (access token),進而入侵用戶帳號。「存取權仗」可讓用戶持續登入 Facebook,免掉每次使用 Facebook都得重新輸入密碼的麻煩。這次的攻擊利用了程式碼中多項問題交互作用的複雜性。
目前的調查仍在初期階段,但是我們對此高度重視,並希望通知用戶我們已立即採取的帳號安全保護措施,並告知事情始末。但我們還無法確定受影響的帳號是否被濫用,或是有沒有資訊被竊取,以及確實受到影響的帳號數量。
目前已採取的行動:
我們已修復了程式碼中的漏洞並通知執法單位。而且為了防止駭客繼續攻擊,我們將五千萬已知受影響帳號的存取權仗全部作廢;為了防患未然,我們更進一步作廢了四千萬帳號的存取權杖,這四千萬帳號曾在過去一年使用過「檢視角度」。最後,在徹底完成安全檢查之前,我們暫時關閉「檢視角度」功能。
雖然停用存取權杖可以防止駭客繼續存取受到影響的帳號,但也導致約九千萬用戶必須重新登入 Facebook,或是重新登入透過 Facebook 登入的其他應用程式。由於駭客並沒有帳號密碼的存取權,用戶將無須更改密碼。使用合作夥伴提供 Messenger 智慧機器人(bot)服務的商家則必須注意,如果商家的粉絲專頁管理員帳號被登出,智慧機器人服務可能會受到干擾。我們建議粉專管理員確認保持在合作夥伴的登入狀態,確保智慧機器人可以正常運作。
保護用戶隱私及帳號安全是我們最重要的工作,因此,對於這次的事件,我們感到非常抱歉。我們瞭解要求用戶重新登入 Facebook 或應用程式會帶來不便,但這是對這次安全問題採取應變的關鍵動作。駭客企圖盜用帳號或竊取資訊的惡意攻擊從不間斷,雖然我們這次得以偵測問題並迅速採取應變措施,但未能從一開始就防止事件發生,我們責無旁貸。我們將持續大力投資人力和技術,保障帳號和使用上的安全性。
對於無法登入回到 Facebook 的用戶們(例如忘記了密碼),我們提供「使用說明」 的求助管道,而任何想要登出帳號以防範未然的用戶,也可以前往「設定」的「帳號安全和登入」,在這個頁面中詳列用戶使用「一鍵登入」選項登入到 Facebook 的所有裝置和地點,進而選擇全部登出使用。請前往我們的「新聞中心」,閱讀相關文章以瞭解更多詳情。當我們有進一步消息時,也會即時通知您最新情況。