脸书更新安全事故声明确定2900万名用户信息遭窃取
早些时候国外社交网站脸书公布安全调查称出现大规模数据泄露,当时预计有超过五千万名用户数据被窃取。
黑客利用脸书某个漏洞批量申请登录令牌绕过用户密码,登录后即可查看账号任意信息被收集分类和存储等。
在经过数月调查后脸书目前已经公布最新动态,数据泄露规模被修正但也有两千九百万个账号已被窃取数据。
其中1400万名用户详细信息被窃取:
脸书称包括生日信息、所在的公司、教育程度及好友名单等已被确认遭到黑客窃取的用户合计超过1,400 万。
攻击者窃取的这些信息本身倒是无法直接拿来做什么,但是后续可以针对性的冒充用户发送钓鱼右键给好友。
如果用户的好友甚至公司没能察觉到可能有诈后,则可能会进入攻击者制作的钓鱼网站泄露自己的用户密码。
漏洞存在时间已经长达13个月:
黑客能够攻击窃取如此规模的用户数据主要在于漏洞比较精细,该漏洞长久以来都没有被脸书安全团队发现。
黑客利用该漏洞可以申请任意用户的令牌以便绕过密码登录账号,最终黑客似乎有点心急导致没能继续下去。
到上个月脸书发现大量用户申请令牌与常规情况不符,因为令牌通常只有开发者会使用而不是针对普通用户。
有鉴于此脸书立即开始调查并发现漏洞,如果黑客不是心急提高申请效率的话或许在更长时间还不会被发现。
脸书已经通知美国联邦调查局:
鉴于数据泄露规模如此之大脸书已经与美国联邦调查局展开合作,联邦调查局目前并没有透露任何有关信息。
同时联邦调查局还要求脸书不得讨论这次攻击事件背后的人,即便是猜测或者预计可能攻击团队也不被允许。