我们的技术团队在 9 月 25 日周二下午发现了一个影响“访客视图”功能的安全性问题。“访客视图”允许用户通过他人视角查看自己的个人主页。黑客利用我们代码中的漏洞盗取 Facebook 访问口令,并以此获得帐户控制权。访问口令能够保持用户在 Facebook 的登录状态,使用户在每次登录应用时不必重新输入密码。而此次入侵正是由于黑客利用了我们代码中多个问题的复杂交互所导致。
目前,调查工作仍在初期阶段。我们非常重视这次入侵事件,并希望告知大家我们在发现漏洞后第一时间采取的帐户安全保障措施并公布事件原委。关于受影响的帐户是否被违规使用、是否有帐户信息被窃取以及可能受到影响的帐户数量方面的信息,我们仍在确认。
截至目前我们已经采取如下措施:
我们已经修复了代码漏洞并已向执法部门报备这次入侵事件。为防止入侵范围进一步扩大,我们对已知近五千万受影响的帐户已经禁用访问口令。出于预防性安全考量,对在过去一年内使用过“访客视图”的四千万帐户,我们也禁用了访问口令。另外,在全面安全审核完成以前,“访客视图”功能将暂时停用。
禁用访问口令将防止黑客访问已受影响的帐户。因为这项口令禁用,大约九千万用户将需要重新登录 Facebook 以及所有使用“Facebook 登录”的应用。由于黑客并未获取帐户密码,用户不需要更改密码。[本段以下内容对非 Messenger 合作伙伴可以移除]如果公共主页管理员的帐户被强制退出登录,使用第三方智能助手合作伙伴的企业和商家在使用 Messenger 智能助手时可能会受到影响。我们建议公共主页管理员确认自己在合作伙伴处于登录状态,确保智能助手能够继续正常运作。
用户的隐私和帐户安全是我们工作的头等要务。对于此次入侵事件,我们诚挚致歉。我们了解要求用户重新登录 Facebook 或其他应用可能带来不便,但面对安全性问题我们必须立即采取这一关键性补救措施,不敢怠慢。一直以来,我们不断因为有黑客意图入侵帐户或窃取信息而受到安全性攻击,虽然这次迅速发现问题并立即补救,但对于未能在一开始就防止事件发生,我们责无旁贷。我们将继续投资人力和技术,保障帐户安全。
用户如果在重新登录 Facebook 时遇到困难(例如,忘记帐户密码),请访问我们的帮助中心寻求帮助。如果有其他用户出于防护考量而希望登出帐户,请前往帐户设置的“安全与登录”。此页面列有这一 Facebook 帐户的所有登录设备,用户可以一次性从所有设备退出登录。您也可以在我们的“新闻中心”版块详细了解这一事件的信息。我们将在掌握更多信息后进一步通知您。