脸书被骇事件总计有3,000万名用户遭殃

脸书（Facebook）在上周五（10/12）公布了骇客入侵该站的初步调查结果，指出总计有3,000万名用户的存取权杖（Access Token）遭骇客窃取，当中有2,900万名用户的个资外泄。

根据脸书产品管理副总裁Guy Rosen的说明，脸书是在9月14日察觉异样并展开调查，在25日确认是遭到攻击，也发现骇客所利用的漏洞是由3个臭虫所组成，允许骇客借由“检视角度”（View As）功能窃取脸书的存取权杖。此一存取权杖是用来维持脸书用户登入状态的数位金钥，以在造访脸书时不必再重新输入密码。

“检视角度”是用来让用户检查自己的个人档案从某位友人看起来是什么样子的功能，它应该是一个“唯看”（view-only）界面，却不小心容许影片的张贴；接着则是脸书在去年7月更新的影片上传工具错误地产生了一个拥有Facebook行动程式授权的存取权杖；而当此一影片上传工具成为“检视角度”的元件时，它所产生的存取权杖并非是提供给执行“检视角度”的用户，而是提供给该位友人。

骇客不只找到了上述臭虫，利用它们取得了存取权杖，还转移到其它的账号以窃取更多权杖。

脸书在两天内就修补了该漏洞，同时重置9,000万个可能受到影响的存取权杖，使得这些用户在9月28日被强制登出。

上周脸书揭露了骇客的手法，指出骇客先控制了一部分的账号，利用自动化技术窃取这些账号的友人，以及友人的友人的存取权杖，证实骇客最终窃取了3,000万名用户的存取权杖。其中1,500万名用户的姓名与联络资讯遭到骇客存取，如电话号码或电子邮件，另外的1,400万名用户所外泄的资料除了姓名与联络资讯外，还包括其它列在个人档案上的资料，从使用者名称、性别、地区、关系状态、宗教、生日到他们所追随的对象与最近15笔的搜寻，而另外的100万名用户则未被骇客存取任何资讯。

Rosen表示，他们已关闭了“检视角度”功能，并与FBI合作展开调查，FBI并要求脸书不要对外讨论攻击来源。

脸书用户只要造访该站的Help Center并拉至页面下方，就能检查自己是否为此波攻击的受害者，若答案是肯定的，页面上则会显示使用者的哪些资料已遭骇客存取，同时提供建议措施。