两周后在调查过程中,Facebook周五宣布了更多关于攻击者如何实施对社会网络的大规模破坏这个问题造成了数千万用户的损失。该公司将用户访问令牌被盗的估计从最初估计的至少5000万降至3000万,并从一开始就揭示了这一规模的攻击究竟是如何发生的。
Facebook此前曾表示,黑客利用了“查看AS”功能中的三个漏洞-让用户看到自己的个人资料对其他用户来说是什么样子-来获取访问令牌,从而允许他们渗透用户账户。自2017年7月以来,该平台一直存在这些缺陷,但该公司在今年9月14日首次发现可疑活动有所增加。这最终导致它在9月25日发现了这些bug,以及它们启用的攻击。
Facebook负责产品管理的副总裁居伊·罗森(Guy Rosen)周五在电话中告诉记者:“有了这些访问令牌,攻击者就可以进入人们的账户。”“我们正在研究解决这类问题的方法,并确保我们能够更快地抓住它们,并尽量减少它们的影响。”
facebook表示,它正在与fbi合作,也无法透露有关黑客身份或他们可能动机的任何发现,但攻击似乎得到了很好的协调,有了适当的基础设施,可以迅速开始传播和泄露数据。攻击者使用他们控制的一组已建立的种子帐户来利用漏洞,并从他们帐户的朋友、朋友的朋友那里窃取访问令牌,等等。
通过自动化这一过程,黑客最终获得了超过40万个账户,通过这些账户,他们加载了用户在查看自己的个人资料时所能看到的内容。这意味着攻击者可以访问用户的所有基本信息,比如居住的地方和联系信息,还可以访问他们的朋友、他们所在的组、在他们的时间表上发布的帖子以及他们最近在Messenger中与之联系过的人的姓名。
罗森说:“400,00个账户是(攻击者)脚本加载‘View as’视图的账户,因此它实际上加载了该人的Facebook配置文件,而作为其中的一部分,当该网页加载并呈现在他们的脚本中时,它就会包括…比如他们的时间线上的帖子、朋友或他们所属的组的列表,”罗森说。
攻击者无法看到消息的内容,除非受损的用户是Facebook页面管理员,在这种情况下,传入的消息是可见的。Facebook的结论是,此次攻击没有影响该公司相关服务中的数据,包括Messenger、Messenger Kids、Instagram、WhatsApp、Oculus和开发者账户。攻击者也无法看到完整的信用卡号码,Facebook表示,没有证据表明攻击者访问了最后四位数的用户信用卡。
然而,从第一轮的40万个受损账户中,攻击者继续破坏访问令牌,最终春季登入总数达到3000万。在广泛的3000万人中,有三个群体。对于1500万个帐户,攻击者根据特定用户列出的内容,专门访问姓名和联系信息、电话号码、电子邮件地址或两者。在1400万个账户上,袭击者拿走了所有这些信息,加更细粒度的轮廓数据。
罗森周五写道,可能从第二组中窃取的其他信息包括“用户名、性别、地区/语言、关系状况、宗教、家乡、自我报告的当前城市、生日、用于访问facebook的设备类型、教育、工作、他们登记或被标记的最后10个地方、网站、他们关注的人或页面,以及最近的15次搜索。”
攻击者没有接触到其余100万个账户的任何信息。以下是如何找出如果,还有多严重,你受了影响.
Facebook周四不愿就受影响用户的地理细分发表评论,但罗森称此次攻击具有“相当广泛的”全球影响。他还重申,Facebook还没有找到证据表明袭击者使用了被盗的访问令牌折中第三方帐户它包含了Facebook的登录方案。facebook上周向第三方开发者发布了一款工具,允许他们检查自己的用户账户是否在这一事件中遭到了破坏。
Facebook一再强调其在调查和补救攻击方面的迅速行动,但没有详细说明为什么它不采取更多预防措施,从9月14日第一次发现可疑交通,到9月25日该公司得出结论认为,该活动表明了一次攻击,发现了漏洞,并对其进行了修补。“Facebook在任何一天都会被使用,”罗森说。“这是不寻常的,正是这种情况引发了这次调查,促使我们挖掘和了解发生了什么事情,最终发现这实际上是一个安全问题。”
Facebook表示,目前还没有证据显示被盗数据在野外被滥用,该公司现在更有信心评估哪些数据被窃取,哪些用户受到了影响。不过,罗森指出,情况的某些方面仍不清楚。Facebook正在继续调查黑客可能滥用该平台的其他方式,并没有排除其他攻击者利用这三个漏洞发起类似攻击的可能性。
领取专属 10元无门槛券
私享最新 技术干货