确定回复
返回顶部
    1. 突发 | Facebook惊爆严重安全漏洞,股价跌超3%

      小竹笋
      2018-09-29 14:05:15 来源: 小葱快讯
        facebook还没有直接公布这个bug怎么发现的,View As只是那个最最关键点:把access token leak出来的地方。但是这个安全漏洞利用还是比较困难的。  

      (原标题:突发:Facebook惊爆严重安全漏洞,股价跌超3%)

      今天早上,Facebook披露了一个广泛存在的安全漏洞,可能会让黑客或其他恶意第三方通过收集安全令牌来访问受影响用户的帐户。该漏洞影响了多达5000万人,而且Facebook表示,它已经强行让大约9000万用户今天完全重新登录他们的帐户,以确保安全。

      facebook官方博客公告

      Facebook表示,其工程团队于9月25日注意到了这一问题,但Facebook负责产品管理的副总裁盖伊罗森表示,目前尚不清楚帐户是否遭到破坏,问题何时被利用。

      扎克伯格的帖子

      “周二,我们发现攻击者利用技术漏洞窃取访问令牌,这将允许他们登录Facebook上大约5000万人的帐户,”首席执行官马克扎克伯格在其个人Facebook页面的帖子中写道。“我们还不知道这些帐户是否被滥用,但我们会继续研究这个问题,并会在我们了解更多时更新。”

      FB的股票在消息发布后,应声下跌3%,现在有所反弹。

      Facebook这个漏洞的大概原理

      Facebook这个漏洞出在 “View As“ 查看身份这个功能上,该功能可让您以其他用户或者公众的方式查看自己的个人资料,即别人眼里我是什么样子的。但是这个功能存在一个漏洞允许黑客或者恶意程序获取访问令牌。这就很要命,能够让黑客或者第三方直接控制你的账号。

      authentication and authorization

      (来不及画可能的流程图了,先借用这个图)按照FB的说法就是那个acess token可以直接leak出去,也就是说黑客不需要知道你的用户名密码,就能干坏事。

      Facebook称,目前该漏洞意境被修复并告知了执法部门。但Facebook表示,目前还不清楚黑客的身份和来源,还没有来得及充分评估攻击的范围。该公司也正处于调查的开始阶段。

      Facebook在前CSO Alex Stamos上个月离开公司之后,Facebook的一个紧迫问题是没有首席安全官。Facebook表示不会填补CSO的角色,而是重组其安全组织。

      这个漏洞怎么发现的?有人要直播删除扎克伯格的账号?

      就在这个官方的公告发布的前几天,有个华裔白帽子黑客张启元Chang Chi-yuan扬言要直播删除扎克伯格的facebook的账号。

      如果是阿猫阿狗威胁威胁就算了,可惜这个人是个非常有credit的黑客。此人在 2016 Line bugbash奖赏名人堂”中被列为“特殊贡献者”。

      他曾经因为入侵交通系统、只花 1 元新台币购买了一张车票,而被当地公交公司给提告了。而且他还公布了 Facebook 对其漏洞报告的回应函截图。

      facebook给他的回复

      这个事情就非常非常serious了,外媒大量报道了这个事情, FB也真的发现了严重漏洞。他今天在FB上写了一段告白,说自己不直播了。

      facebook还没有直接公布这个bug怎么发现的,View As只是那个最最关键点:把access token leak出来的地方。但是这个安全漏洞利用还是比较困难的。

      此攻击利用了我们代码中多个问题。它源于我们在2017年7月对视频上传功能所做的更改,该功能影响了“查看为”。攻击者不仅需要找到此漏洞并使用它来获取访问令牌,他们还必须从该帐户转到其他人偷别人的token。

      既然他有自信直播delete,那么他应该还有几个小的漏洞组合起来,大大提高了这个bug的可利用程度。具体细节还要看FB后面的官方细节公布。

      他让我想起了,陈盈豪,现在应该也是个油腻的大叔了吧。

      后生可畏,后生可畏啊!

      西雅图雷尼尔

      感谢支持!

      THE END
      点赞(178)
      收藏(0)
      分享此文章
      标签: 区块链技术 Facebook
      本文来自小葱快讯,内容仅供参考,不构成投资建议,本文观点不代表 FN (Fintech News)|FN.com立场,转载请联系原作者。 如有侵权 请联系删除。
跟帖

0

参与

0

发表评论
  • 暂无评论~
资讯
Q1净利飙升594%,马云的金融科技公司告诉你:To B服务,是赚钱的!
恒生电子近三年的业绩表现证明,金融科技To B服务的确是一门赚钱的生意,且发展可持续。
新流财经

2019-05-22 15:04:32
马云 金融科技
资讯
突发!“智能存款”被全面清理整顿
那么2019年5月的本次清理整顿:“存量部分到期后自然终止,增量一律停发,不再允许新办”则基本上意味...
金融监管研究院

2019-05-22 14:04:02
监管
资讯
币圈“重启”?大佬回归,矿机脱销,资金盘蠢蠢欲动……
行情走好,让空气币、传销币的操盘者,也蠢蠢欲动。币圈的资金盘项目,也开始了新一轮的崛起。
腾讯科技

2019-05-22 13:34:37
数字货币 比特币
资讯
对话北邮教授曾剑秋:如果仅仅是快,就把5G想的太简单了
腾讯科技: 4G大概是2013年、2014年左右正式商用的,到今年1月份是正式突破了10亿大关,你觉...
腾讯科技

2019-05-22 13:28:36
5G 4G
资讯
Swift将在欧洲测试实时跨境支付
尽管支付信息实时通过Swift网络,但在进入国内清算系统时,受益人账户的资金结算和接收可能会延迟数天...
finextra

2019-05-22 13:26:09