作者:Guy Rosen
我们希望就上周公布的安全攻击事件 发布最新进展。这是一个严重的问题,我们迅速采取了行动来保护用户帐户的安全,并调查了整件事情。我们修复了漏洞,并重置了总计 9,000 万个帐户的访问口令,其中有 5,000 万个帐户的访问口令被盗,而有 4,000 万个帐户受去年的“访客视图”查询影响。重置访问口令可以保护用户帐户的安全,但这意味着用户必须重新登录 Facebook 或任何使用 Facebook 登录功能的应用。
关于此次攻击对使用 Facebook 登录的应用有何确切影响,我们尚有疑问。目前,我们分析了在上周发现的这次攻击期间安装或登录的所有第三方应用的日志。到目前为止,调查没有发现任何证据,表明攻击者曾访问任何使用 Facebook 登录功能的应用。
我们重置用户访问口令后,任何使用我们官方 Facebook SDK 的开发者,以及那些定期检查其用户访问口令有效性的开发者,都会自动受到保护。但是,由于某些开发者并未使用我们的 SDK,或没有定期检查 Facebook 访问口令是否有效,因此出于谨慎的考虑,我们正在构建一款工具,让开发者能够手动识别可能受影响的应用用户,以便能将这些用户注销。
安全是 Facebook 的重中之重。这就是为什么我们建议开发者遵守我们的 Facebook 登录安全最佳实践:
-
使用我们官方的 Android、iOS 和 JavaScript 版 Facebook SDK,这些 SDK 每天都会自动检查访问口令的有效性,并在 Facebook 重置 SDK 时强制重新登录,从而保护用户帐户的安全。
-
使用图谱 API 以实现定期更新信息,并始终将用户从错误代码显示任何 Facebook 会话无效的应用中注销。
对于这次攻击的发生,我们深表遗憾,我们将在发现更多进展时告知用户最新情况。