撰文者:Guy Rosen
針對我們上週公告的帳號安全攻擊事件,在此向大家報告最新調查進度。面對本次重大攻擊,我們迅速採取措施來保護用戶帳號安全,並且著手調查事件始末。我們修正了遭受攻擊的部分並重設全部 9,000 萬個帳號的存取權杖,其中 5,000 萬個帳號的存取權杖遭到竊取,其餘 4,000 萬個帳號則是因為去年曾使用「檢視角度」功能。重設存取權杖可保護用戶的帳號安全,但也代表用戶必須重新登入 Facebook 或使用 Facebook 登入的任何應用程式。
對於使用 Facebook 登入功能的應用程式,我們尚無法確定本次攻擊可能造成的影響。我們現在已鎖定在上週遭受攻擊期間所有第三方應用程式的安裝或登入紀錄進行分析,目前為止,尚無證據顯示攻擊者存取了任何使用 Facebook 登入的應用程式。
所有使用我們官方 Facebook SDK 的開發人員,以及定期檢查其用戶存取權杖效力的用戶,在我們重設用戶存取權杖時皆獲得自動防護;然而,部分開發人員可能並非使用 Facebook SDK,也未定期檢查 Facebook 存取權杖效力。為了防範於未然,我們正在打造一項工具,希望讓開發人員以人工方式確認其應用程式用戶是否受到影響,以便將他們登出。
Facebook 相當重視用戶帳號安全,這也是為什麽我們建議開發人員遵循 Facebook 登入的帳號安全最佳作法:
-
使用我們官方的 Facebook Android/iOS/JavaScript SDK,這些 SDK 會每天自動檢查存取權杖的效力,並在 Facebook 重設存取權杖後強制重新登入,藉此保護用戶帳號的安全。
-
使用圖形 API 可確保資料定期更新,並且在 Facebook 連線階段無效而在應用程式上顯示錯誤代碼時,一律將用戶登出。
對於本次攻擊造成用戶困擾,我們深感抱歉,若有進一步的調查結果,將會持續向各位報告。