注册 登录
搜搜吧 返回首页

爱我请吻我的个人空间 https://www.sosoba.org/?20836 [收藏] [复制] [分享] [RSS]

日志

突发:Facebook惊爆严重安全漏洞,股价跌超3%

已有 22 次阅读2018-9-29 16:54 |个人分类:科技|系统分类:科技

  Facebook一个安全漏洞影响5000万账号

  今天早上,Facebook披露了一个广泛存在的安全漏洞,可能会让黑客或其他恶意第三方通过收集安全令牌来访问受影响用户的帐户。该漏洞影响了多达5000万人,而且Facebook表示,它已经强行让大约9000万用户今天完全重新登录他们的帐户,以确保安全。

  facebook官方博客公告

  Facebook表示,其工程团队于9月25日注意到了这一问题,但Facebook负责产品管理的副总裁盖伊罗森表示,目前尚不清楚帐户是否遭到破坏,问题何时被利用。

  扎克伯格的帖子

  “周二,我们发现攻击者利用技术漏洞窃取访问令牌,这将允许他们登录Facebook上大约5000万人的帐户,”首席执行官马克扎克伯格在其个人Facebook页面的帖子中写道。“我们还不知道这些帐户是否被滥用,但我们会继续研究这个问题,并会在我们了解更多时更新。”

  FB的股票在消息发布后,应声下跌3%,现在有所反弹。

  Facebook这个漏洞的大概原理

  Facebook这个漏洞出在“View As“查看身份这个功能上,该功能可让您以其他用户或者公众的方式查看自己的个人资料,即别人眼里我是什么样子的。但是这个功能存在一个漏洞允许黑客或者恶意程序获取访问令牌。这就很要命,能够让黑客或者第三方直接控制你的账号。

  authentication and authorization

  (来不及画可能的流程图了,先借用这个图)按照FB的说法就是那个acess token可以直接leak出去,也就是说黑客不需要知道你的用户名密码,就能干坏事。

  Facebook称,目前该漏洞意境被修复并告知了执法部门。但Facebook表示,目前还不清楚黑客的身份和来源,还没有来得及充分评估攻击的范围。该公司也正处于调查的开始阶段。

  Facebook在前CSO Alex Stamos上个月离开公司之后,Facebook的一个紧迫问题是没有首席安全官。Facebook表示不会填补CSO的角色,而是重组其安全组织。

  这个漏洞怎么发现的?有人要直播删除扎克伯格的账号?

  就在这个官方的公告发布的前几天,有个华裔白帽子黑客张启元Chang Chi-yuan扬言要直播删除扎克伯格的facebook的账号。

  如果是阿猫阿狗威胁威胁就算了,可惜这个人是个非常有credit的黑客。此人在2016 Line bugbash奖赏名人堂”中被列为“特殊贡献者”。

  他曾经因为入侵交通系统、只花1元新台币购买了一张车票,而被当地公交公司给提告了。而且他还公布了Facebook对其漏洞报告的回应函截图。

  facebook给他的回复

  这个事情就非常非常serious了,外媒大量报道了这个事情,FB也真的发现了严重漏洞。他今天在FB上写了一段告白,说自己不直播了。

  facebook还没有直接公布这个bug怎么发现的,View As只是那个最最关键点:把access token leak出来的地方。但是这个安全漏洞利用还是比较困难的。

  此攻击利用了我们代码中多个问题。它源于我们在2017年7月对视频上传功能所做的更改,该功能影响了“查看为”。攻击者不仅需要找到此漏洞并使用它来获取访问令牌,他们还必须从该帐户转到其他人偷别人的token。

  既然他有自信直播delete,那么他应该还有几个小的漏洞组合起来,大大提高了这个bug的可利用程度。具体细节还要看FB后面的官方细节公布。

  他让我想起了,陈盈豪,现在应该也是个油腻的大叔了吧。

  后生可畏,后生可畏啊!

  来源:华尔街日报

路过

鸡蛋

鲜花

握手

雷人

评论 (0 个评论)

facelist doodle 涂鸦板

您需要登录后才可以评论 登录 | 注册

Powered by www.sosoba.org X3.4© 2013-2018 搜搜吧社区 小黑屋|手机版|地图|关于我们|新闻资讯|soso搜搜吧社区官网
搜搜吧社区官网创建于2013年07月23日,本站内容均为会员发表,并不代搜搜吧社区立场,请遵守当地相关法律,客服邮箱: kefu-sosoba@qq.com
本站所有的内容均来自互联网以及第三方作者自由发布、本站soso搜搜吧不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除
推荐使用:chrmoe谷歌浏览器,搜狗浏览器,QQ浏览器,360极速浏览器,360安全浏览器,猎豹浏览器,火狐浏览器,世界之窗,百度浏览器,Safari浏览器,ios,Android

GMT+8, 2018-10-23 12:53 , Processed in 1.078125 second(s), 17 queries , Gzip On.

返回顶部