更多

    Facebook 爆漏洞九千萬帳戶受影響 生日快樂影片係兇手!?

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Google 承認已停止發售 Pixel 3a

    Google 正式承認當售清存貨之後,就會停售 Pixel 3a 。現時美國 Google Store 已經顯示沒有存貨,但台灣方面就無論 Pixel 3a 還是屏幕較大的 Pixel 3a XL 也仍然有售。

    Thunderbolt 4 下周發表 支援線材已在 Apple Store 有售!?

    Thunderbolt 3 介面推出近 10 年,隨著 Intel 去年開放 Thunderbolt 協定專利、 USB Promoter Group 宣布推出 USB4 規格, Intel 也準備在下星期四 7 月 9 日召開媒體說明會,公布有關 Thunderbolt 4 的最新技術和市場布局。不過據聞 USB Promoter Group 成員之一的 Apple 可能已經悄悄地在 Apple Store 上推出對應 Thunderbolt 4 的線材。

    Apple Arcade 改變策略挽留玩家 Apple 終止部分遊戲開發合約

    Apple 去年推出一系列訂閱服務,希望將公司盈利重心由售賣硬件轉為提供內容服務。可惜似乎在各方面都踫壁,需要改變營運策略。而最近傳出「被開刀」的,就是遊戲訂閱服務 Apple Arcade 。據知情人士透露, Apple 在 4 月中的電話會議上向部分遊戲開發商提出終止現有遊戲的開發合約,轉而尋求更能吸引訂戶持續玩下去的遊戲作品。

    Facebook 剛公布在美國時間本月 25 日下午發現一個由「檢視角度」功能而產生的漏洞,令駭客有機會偷取到用戶的存取令牌( Access Token ),從而可以騎劫用戶帳戶。全球受影響的用戶達到 5,000 萬,而 Facebook 為此重設多達 9,000 萬用戶的存取令牌,要求他們重新登入。

    今次漏洞是出於「檢視角度」
    今次漏洞是出於「檢視角度」

    「檢視角度」是一項私隱功能,本來是唯讀的。
    「檢視角度」是一項私隱功能,本來是唯讀的。

    Facebook 指今次的攻擊是由於 Facebook 程式碼上多個問題的複雜互動。「檢視角度」是讓用戶以第三者的角度來觀看自己的個人檔案,原意是用來確認不會有不當的資料披露給其他用戶。本來這個功能是唯讀的,但有一個可以上載祝朋有生日快樂影片的功能卻不正確地在手機版 Facebook App 裡發出用戶的存取令牌。該問題是在 2017 年 7 月推出新版影片上載器時產生的。而存取令牌就是讓用戶不用每次重覆輸入密碼就能使用以 Facebook 帳戶登入的程式。

    「生日快樂影片」不當地在「檢視角度」裡發出用戶的存取令牌
    「生日快樂影片」不當地在「檢視角度」裡發出用戶的存取令牌

    Facebook 表示他們採取了三項行動,首先他們立即修正了有關漏洞,並通知了執法機構。然後他重設了受直接影響的 5,000 萬用戶,和另外 4,000 萬過去一年曾使用有關功能的用戶,合共 9,000 萬用戶的取存令牌,令你他需要重新輸入密碼來登入,包括各使用 Facebook 帳戶來登入的程式。受影響用戶在重新登入後,會看到 Facebook 的保安公告報告該用戶的帳戶可能今次問題影響。

    受影響帳戶在重新登入後會顯示保安報告
    受影響帳戶在重新登入後會顯示保安報告

    最後他們暫時停止了「檢視角度」功能來檢視保安問題。不過據撰文時所見,網頁版「檢視角度」功能已經可以使用。

    Facebook 表示由於調查只在初步階段,暫未知道攻擊者的背景,也不排除將來會發現更多帳戶受影響。不過由於取得存取令牌後也可以入侵使用那個 Facebook 帳戶的其他應用程式帳戶,所以存取範圍可以很大。

    早前有一個自稱張志遠的台灣駭客宣稱發現 Facebook 的漏洞,他曾表示會以刪除朱克伯格的帳戶來證明這個漏洞,還會以 Facebook Live 來直播。不過到最後沒有成真,他表示已向 Facebook 報告漏洞,並指在收到獎金後就會公開證據。而在張志遠公布後幾小時, Facebook 就公布今次「檢視角度」的漏洞。暫時未知張志遠是否正是運用這個漏洞來進行攻擊。

    資料來源: Facebook 、 The Verge

    相關文章