北京时间 9 月 29 日早，Facebook 宣布遭遇网络攻击，导致约 5000 万用户信息泄露。

FaceBook 声称，黑客利用的漏洞主要存在于 FaceBook 的 “View As” 功能中，这个功能可以让用户查看自己的个人资料以及平台中其他用户对自己的看法。FaceBook 在 9 月 16 日注意到用户活动大增，在 9 月 27 日发现了这个漏洞。漏洞在 2017 年 7 月 FaceBook 更改视频上传功能时出现的，共包含三个不同的 bug，可被用于获取“访问令牌”（access token），从而控制用户账号。 

目前，FaceBook 已经重置了超5000万受影响账户的 token，并出于谨慎考虑重置了另外 4000 万去年曾使用过含安全漏洞的“View As”功能的用户账户。这导致超过 9000 万用户被强行登出账号，按截至 6 月 30 日 22.3 亿名 FaceBook 活跃用户总数算，约 4% 的用户受到影响。这些用户只能重新输入密码登录 FaceBook 以及其他使用 FaceBook 账号登录的应用，还将在“信息流”（News Feed）中收到通知说明。Facebook 称，用户没必要更改密码。如果有更多账号受到影响，则 Facebook 将马上对其“访问令牌”进行重置。想要注销的用户可以访问其设置中“安全和登录”部分，并选择一键式退出。

此外，Facebook 还将暂时关闭 “View As”功能，将对其安全性进行审查。目前，FaceBook 已经确认了漏洞情况并修复完成，同时也启动了调查。但调查仍处于初级阶段，既不清楚黑客的身份和来源，也没来得及充分评估攻击的范围，也不清楚是否有失窃的用户信息被滥用。泄露事件公开之前，Facebook 股价已经下跌了 1.5% 左右，消息传出后则进一步走低，一度下跌 3.05%。到收盘时下跌 2.59% 报 164.46 美元，盘中一度触及 162.56 美元的低点。

这已经不是 FaceBook 第一次深陷数据泄露漩涡了，2008 年该公司曾因为技术故障导致 8000 万用户出生日期泄露、2013 年则不慎泄露 600 万用户电话号码和电子邮件地址、2018 年 6 月 8700 万用户数据被剑桥分析非法获取引起大规模探讨。周五这起泄露事件后，FaceBook 也再次面临集体诉讼。

Facebook CEO 扎克伯格迅速对此事作出回应。他表示 Facebook 正与美国联邦调查局（FBI）合作，以解决这一问题。根据欧洲通用数据保护法规(GDPR)义务，Facebook 也已将相关情况通报给爱尔兰数据保护委员会。此外，FaceBook 还表示将把专注改进安全性的员工人数从 1 万人增加至 2 万人。

推特自曝可能泄露隐私的漏洞

据腾讯证券 9 月 22 日消息，推特当天表示自己修补了一个可能导致外部软件开发者共享用户私人信息的漏洞。推特公司发言人表示，目前“没有证据表明任何数据在任何地方都能够被误用或利用”，并强调只有在满足一系列复杂标准的情况下才会出现这种错误。 “这种情况几乎不可能发生，但我们仍然希望彻底解决这一漏洞。”Twitter 表示将继续调查这一情况，还在博客中声称联系了可能受到影响的第三方“开发商”。这个漏洞于 9 月 10 日被发现，并在数小时内得到修复。Twitter 公司确保披露关于漏洞的最准确信息。该发言人还表示，用户之间的私人消息并没有泄露给外部软件开发者。

据估计，截至 7月 份的 3.35 亿月活跃用户中，受该问题影响的用户不到 Twitter 总用户体群的1％。与 FaceBook 相比，推特自曝漏洞的行为似乎更优前瞻性也更有诚意。但尽管如此，推特的股票价格仍然下跌超4％，其中在披露漏洞后股票迅速跌至日内新低。

就在推特自曝漏洞的前两天，谷歌在给美国参议院的回信中也承认了允许第三方应用开发者扫描并收集 Gmail 数据，这也可能导致用户数据被第三方滥用，侵犯隐私。随后，谷歌母公司  Alphabet 的股价下跌 1.4% 。

科技巨头纷纷深陷“隐私门”，让用户对社交网络的信任不断下降，也为这些大公司的后续发展敲响了警钟。9 月 26 日，美国商务委员会与科技公司关于消费者隐私保护的听证会刚刚结束，FaceBook 的数据泄露就随之而来。这起事件的后续处置，也许将成为万众瞩目的焦点。而无论结果如何，最受伤的依旧是任人鱼肉的用户……

*参考来源：securityaffairs, theverge,xw.qq.com, 作者 AngelaY ，转载请注明来自 FreeBuf.COM