2016年12月7日 星期一
【美新社孫珊訊】臉書(Facebook)日前公佈了一名身份不明的駭客入侵了該網站,導致5000萬用戶的帳戶遭到破壞。該公司的安全團隊發現,攻擊中使用了三個漏洞,並表示這些漏洞被用來成功侵入了臉書的帳戶。
專業網路應用程式駭客和網路安全研究員Thomas Shadwell提出一個可能的假設,神秘的駭客或駭客們是如何實施了這場被認為是攻擊社交媒體最重大的一次攻擊?
駭客者的最終目的是盜竊所謂的“OAuth持有者標誌”。從本質上說,這些權杖證明了Facebook用戶是帳戶的合法所有者,並表明了他們可訪問哪些帳戶。正如Shadwell所描述的:“OAuth代幣就像汽車鑰匙,如果你拿著它們,你就可以使用它們,和持有者沒有區別。“在這次攻擊的背景下,這些鑰匙不僅解鎖了Facebook帳戶,還解鎖了任何通過Facebook登錄訪問的受影響用戶的網站。這可能包括Instagram或新聞網站。
為了得到這些鑰匙,駭客們濫用了Facebook上一個名為“View As”的功能。它允許任何用戶查看其他人賬戶,並可訪問他們的個人資料。例如,如果你想阻止你的父親看你的照片,你可通過模仿你的父親並查看你的個人資料來檢查它是否有效。
Shadwell說:“看起來,當Facebook把這個視圖作為功能建立的時候,他們是這樣做的,他們修改了如果Facebook真的被其他用戶看到,它會如何工作。”“當然,這意味著如果出現錯誤,他們最終可能會將模擬用戶的憑證發送給‘視圖’特性的用戶。”
這就是事情變得有點奇怪的地方。如果用戶通過View As冒充自己一個過生日的朋友,該功能還會顯示一個提示他們發佈“生日快樂”視頻的框。Shadwell說,多虧了Facebook在2017年7月犯的一個錯誤,視頻給了使用者一個珍貴的代幣。更具體地說,視頻播放機生成並向使用者發送了一個權杖,這個權杖將用戶登錄到Facebook的移動應用程式中,就好像他們是通過View假裝成的人一樣。從那裡,用戶(在本例中是惡意駭客)就可以完全訪問其他人的帳戶。
攻擊者不會發現很難將駭客攻擊的基本前提推到一個巨大的、影響了數百萬個帳戶的東西上。“至於規模,目標之間並沒有真正的交互需求,所以自動化不是特別困難,”Shadwell補充說。
Facebook沒有透露有多少帳戶遭到駭客攻擊,受害者在哪裡,以及攻擊的幕後黑手是誰。根據Shadwell的說法,要做到這一點需要很高的技能。“從技術上來說,這是非常了不起的成就。”
然而,最令人擔憂的是駭客行為證明了一件事:一家擁有Facebook資源和實力的公司可能會被竊取到能夠訪問數百萬個網路帳戶的鑰匙。考慮到這些要是會允許駭客使用Facebook登錄來接管任何帳戶,實際受影響的個人數量可能遠遠超過5000萬。
許多人都相信Facebook能夠確保他們的登錄資訊安全,就像他們對谷歌和其他技術提供商所做的那樣。Facebook的競爭對手安全嗎?本周的洩密事件或許表明,情況並非如此。
在令人震驚的一年裡,Facebook遭受了一次攻擊,這不僅讓任何考慮離開這家社交網站的人有了更多離開的理由,且也不可避免地損害了互聯網用戶與他們賴以保持線上生活隱私的公司之間的信任。
Copyright@since2016 chinesenewsusa.com All Rights Reserved