9月28日周五,Facebook宣布发现约5000万账户存在安全漏洞,攻击者可借此窃取用户敏感数据。此次数据泄露事件不仅影响Facebook用户,更波及庞大的第三方应用与服务网络。该公司为提升用户体验而简化登录流程、整合第三方合作伙伴的举措,反而使风险管理流程变得更为复杂。 当消费者为互联互通牺牲数据安全时,诸如9月28日数据泄露事件中暴露的漏洞,便可能引发全球范围的系统瘫痪。
据报道,黑客利用了Facebook的"查看他人视角"功能——该功能允许用户查看自己的个人资料在其他用户眼中的显示效果。恶意攻击者诱骗系统生成所谓的"访问令牌",这种对象包含与特定进程或线程关联的用户账户身份及权限。 系统利用访问令牌在绕过常规登录要求的同时建立权限。黑客获取这些令牌后,不仅能窃取敏感信息,还能操控Facebook个人资料设置。官方表示Facebook已修复该漏洞,并重置了超过9000万个数字密钥。
此次攻击发生在社交媒体巨头剑桥分析数据丑闻后,该公司正致力于恢复声誉之际。此前有报道称,约8700万用户的数据被不当共享给这家政治咨询公司。 剑桥分析事件堪称数据滥用的典型案例——该公司通过在Facebook系统内创建应用程序窃取个人数据。然而此次"访问令牌"漏洞更接近安全漏洞,攻击者利用了某功能中未修复的缺陷。攻击者不仅能提取信息,还能操控用户资料,这表明此次攻击造成的危害程度远超预期。
Facebook首席执行官马克·扎克伯格表示,该公司正与联邦调查局合作调查此次数据泄露事件。然而,事件的起源仍不明朗。爱尔兰数据保护委员会也准备启动调查,要求提供更多关于攻击性质和规模的信息。专家预测,监管机构可能对Facebook处以16.3亿美元的罚款。此次事件标志着新修订的欧盟《通用数据保护条例》将首次被用于确定监管处罚。
该事件揭示了单点登录(SSO)功能在简化登录流程的同时,也带来了日益增长的数据风险。Facebook的商业模式及其对SSO的使用,直接扩大了威胁环境。攻击者一旦获得访问权限,不仅能在遭入侵的企业网络内自由活动,还能横跨第三方应用程序和系统进行渗透。 随着各行业巨头持续推行提升用户体验的措施,数据安全风险正呈现普遍化趋势。为有效管控风险,用户在发布敏感信息时应保持高度谨慎——即便在私人群组等看似安全的环境中亦不例外。Facebook数据泄露事件证明:在全球互联日益紧密的系统中,数据泄露的后果绝非孤立事件。
大卫·桑切斯·博恩斯坦(David Sanchez Bornstein)是普瑞文特公司(Prevalent Inc.)的
开源分析师实习生。他目前就读于乔治城大学埃利奥特国际事务学院(
),攻读安全研究与技术政策方向的硕士学位,是该院 的二年级研究生。
关于 Prevalent
Prevalent助力企业管理第三方风险。作为业内唯一整合自动化分级风险评估、持续监控及证据共享功能的统一平台,它为企业与其供应商之间的协作提供了强大支持。Prevalent的可操作情报能全面呈现供应商风险状况,为所有第三方风险管理项目创造最大效率。
要了解更多关于Prevalent平台的信息,请访问我们的网页。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
