作者:產品管理副總裁 Guy Rosen
我們日以繼夜地努力調查兩週前發現並已解決的安全性問題,以便協助用戶瞭解攻擊者可能存取了哪些資訊。我們發現這起攻擊事件利用了這個漏洞,在此將為您詳細報告。我們尚未排除小規模攻擊事件的可能性,仍在持續調查中。
如我們先前所述,攻擊者利用 Facebook 程式碼在 2017 年 7 月 7 日到 2018 年 9 月這段期間內發生的某個漏洞。這個漏洞是由三種軟件錯誤的複雜互動所致,對於「檢視角度」這項可讓用戶以他人角度查看自身個人檔案的功能產生了影響。攻擊者利用這個漏洞竊取 Facebook 存取憑證,進而接管他人帳戶。存取憑證等同於數碼金鑰,可維持用戶的 Facebook 登入狀態,讓他們不需要每次使用應用程式都必須重新輸入密碼。
以下將說明我們如何發現這起利用該漏洞的攻擊事件。我們發現活動量從 2018 年 9 月 14 日起有異常驟增的現象,於是展開調查。9 月 25 日,我們判定這確實是一起攻擊事件,並且找出了漏洞。短短 2 天內,我們修正了這個漏洞,阻止攻擊繼續下去,為可能暴露在攻擊下的用戶重設存取憑證來確保他們的安全。為了預防攻擊再發生,我們關閉了「檢視角度」功能。 此外,我們也與 FBI 合作,他們除了積極展開調查,也要求我們不要討論誰是這起攻擊事件的幕後主謀。
現在可以確定的是,受到影響的用戶人數比我們預期的少。在我們認為存取憑證受影響的 5,000 萬名用戶當中,大約只有 3,000 名用戶的憑證確實被盜。以下說明這起事件的來龍去脈:
首先,攻擊者已經控制了一組帳戶,這些帳戶都與 Facebook 朋友互相連結。他們運用某種自動技術在不同帳戶之間跳轉,以便竊取這些朋友及其朋友(以此類推)的存取憑證,共有約 400,000 名用戶受到波及。不過,在過程當中,這項技術自動載入了這些帳戶的 Facebook 個人檔案,以映射的方式呈現這 400,000 名用戶在個人檔案中原本會看到的內容。這包括他們生活時報上的帖子、朋友名單、所屬群組,以及近期 Messenger 對話的名稱。攻擊者看不到訊息內容,但有一種情形例外。如果這個群組有成員是專頁管理員,而其專頁曾收到某位 Facebook 用戶的訊息,那麼攻擊者就還是看得到該訊息的內容。
攻擊者利用這 400,000 名用戶當中一部分用戶的朋友名單,竊取了大約 3,000 萬名用戶的存取憑證。對於 1,500 萬名用戶,攻擊者存取了兩項資訊:名稱和聯絡方式(電話號碼和/或電郵,視用戶在個人檔案中輸入的資料而定)。對於 1,400 萬名用戶,攻擊者也同樣存取了這兩項資訊,以及用戶在個人檔案中輸入的其他詳細資料。這包括用戶名稱、性別、地區/語言、感情狀況、宗教、家鄉、自行回報的現居城市、出生日期、用於存取 Facebook 的裝置類型、學歷、工作、最後簽到或被標註在內的 10 個地點、他們追蹤的網站、人物或專頁,以及最近 15 筆搜尋。對於 100 萬名用戶,攻擊者並未存取任何資訊。
用戶可以前往幫助中心確認他們是否受到影響。接下來幾天內,我們會傳送自訂訊息給受影響的 3,000 萬名用戶,以便說明攻擊者存取了哪些資訊,以及他們該如何自保,包括避免受到可疑電郵、短訊或來電的傷害。
這起攻擊事件的影響範圍不含 Messenger、兒童版 Messenger、Instagram、WhatsApp、Oculus、Workplace、專頁、付款、第三方應用程式或廣告/開發人員帳戶。我們會一邊調查這起攻擊事件背後主謀對 Facebook 的其他使用方式,以及小規模攻擊事件的可能性,一邊持續與 FBI、美國聯邦貿易委員會、愛爾蘭資料保護委員會和其他主管機關合作。