Facebook 爆漏洞九千万账户受影响　生日快乐影片系凶手！？

Facebook 刚公布在美国时间本月 25 日下午发现一个由"检视角度"功能而产生的漏洞，令骇客有机会偷取到用户的存取令牌（ Access Token ），从而可以骑劫用户账户。全球受影响的用户达到 5,000 万，而 Facebook 为此重设多达 9,000 万用户的存取令牌，要求他们重新登入。

Facebook 指今次的攻击是由于 Facebook 程式码上多个问题的复杂互动。"检视角度"是让用户以第三者的角度来观看自己的个人档案，原意是用来确认不会有不当的资料披露给其他用户。本来这个功能是只读的，但有一个可以上载祝朋有生日快乐影片的功能却不正确地在手机版 Facebook App 里发出用户的存取令牌。该问题是在 2017 年 7 月推出新版影片上载器时产生的。而存取令牌就是让用户不用每次重复输入密码就能使用以 Facebook 账户登入的程式。

"生日快乐影片"不当地在"检视角度"里发出用户的存取令牌

Facebook 表示他们采取了三项行动，首先他们立即修正了有关漏洞，并通知了执法机构。然后他重设了受直接影响的 5,000 万用户，和另外 4,000 万过去一年曾使用有关功能的用户，合共 9,000 万用户的取存令牌，令你他需要重新输入密码来登入，包括各使用 Facebook 账户来登入的程式。受影响用户在重新登入后，会看到 Facebook 的保安公告报告该用户的账户可能今次问题影响。

受影响账户在重新登入后会显示保安报告

最后他们暂时停止了"检视角度"功能来检视保安问题。不过据撰文时所见，网页版"检视角度"功能已经可以使用。

Facebook 表示由于调查只在初步阶段，暂未知道攻击者的背景，也不排除将来会发现更多账户受影响。不过由于取得存取令牌后也可以入侵使用那个 Facebook 账户的其他应用程序账户，所以存取范围可以很大。

早前有一个自称张志远的台湾骇客宣称发现 Facebook 的漏洞，他曾表示会以删除朱克伯格的账户来证明这个漏洞，还会以 Facebook Live 来直播。不过到最后没有成真，他表示已向 Facebook 报告漏洞，并指在收到奖金后就会公开证据。而在张志远公布后几小时， Facebook 就公布今次"检视角度"的漏洞。暂时未知张志远是否正是运用这个漏洞来进行攻击。

资料来源： Facebook 、 The Verge