一文看懂Facebook為何爆保安漏洞　Login功能令危機影響更廣更深

醜聞多多的Facebook再爆出大新聞，網站出現保安漏洞，導致5000萬個戶口有遭入侵危機，公司急急補鑊。
為何Facebook會出現這個保安漏洞？用戶有甚麼危機？事實上，這次牽涉的登入保安問題，與過往賣資料、私隱外洩醜聞不同，影響範圍甚至超出Facebook，因不少用家透過Facebook戶口登入其他社交網站程式，包括Instagram、Spotify等，這些戶口也有可能遭到入侵。

Facebook行政總裁朱克伯格（Mark Zuckerberg）4月出席美國國會聽證會時，曾有國會議員問他：「Facebook有遭黑客入侵過嗎？」當時朱克伯格回答稱，Facebook在2013年曾遭惡意軟件攻擊，但尚未發生過嚴重的黑客入侵事件。

言猶在耳，Facebook周五（28日）就宣布有黑客成功找到Facebook的保安漏洞，令他們有能力入侵多達5000萬個戶口，結果Facebook要強制9000萬個戶口轉為登出狀態，以防黑客再有機可乘。雖然與Facebook每月22億個活躍用戶相比，5000萬個戶口不是多數，但數目已經足夠驚人。按朱格伯格形容，事件「非常嚴重」。

為何Facebook會爆保安漏洞？

Facebook這次爆出保安漏洞，源於一個稱為「View As」的功能，它是讓用戶在設定自己的Facebook頁面時，能夠預覽他人觀看自己Facebook的頁面是甚麼樣子，例如哪些資料可讓某位特定用戶看到、哪些看不到等。此功能本來並沒有問題，但在2017年7月時，Facebook改動了另一讓用戶修改影片的功能，令「View As」出現保安漏洞，讓黑客能夠竊取用戶的「存取令牌」（access tokens）。他們就是憑此進入到用戶帳號。這個「存取令牌」相當於用戶的數碼登錄代碼（Digital keys），讓用戶能夠在不需要再輸入密碼的情況下，繼續使用戶口。

Facebook自2017年7月以來，一直未得知出現保安漏洞，直至2018年9月中，Facebook發現網站出現有異常活動，才開始意識到這個問題。

Facebook在周二（25日）得悉有人利用此漏洞後，除了設法修補外，就先停止「View As」功能，然後重設大量用戶的「存取令牌」，包括已知受影響的5000萬名用戶的，以及另外4000萬個曾在2017年使用「View As」功能的用戶。

這些用戶在重設「存取令牌」後，將要重新登入戶口。換言之，若然用戶發現近日Facebook戶口自動遭登出，要重新輸入密碼，也就有可能是受影響用戶之一了。

黑客竊取了甚麼資料？

按Facebook的說法，攻擊者嘗試利用程式竊取用戶的一些個人檔案資料，例如是名字、性別、居住地方等，但目前看來應該沒有竊取到用戶在通訊程式的對話資料，也沒有信用卡資料遭盜取。

當然這只是Facebook在初步調查後的說法，未來可能有變。

更大的問題？其他社交戶口同受影響

隨着現今網絡愈見方便，用戶在Facebook存取大量個人資料，除了上傳相片、打卡外，更會在與朋友的對話間，可能透露過自己的私隱資料，例如是地址、證件號碼等。這些資料若然外洩，隨時有麻煩。

但這次Facebook事件更暴露一個問題，就是「Facebook Login」功能，這個功能讓用戶在其他社交網站，也一樣可以用Facebook戶口來登入，不用再另外註冊戶口，網站包括Tinder、Airbnb、Instagram、Spotify等。

按英國《電訊報》報道，Facebook周六（29日）承認這次黑客事件會影響「Facebook Login」功能，意味受影響用戶在其他社交網站存入的資料，一樣有危機。

在一般情況下，這種利用一個Facebook戶口、就能登入多個社交網站戶口的方法，帶給用戶方便，省卻用戶註冊新戶口的時間，但是一旦出事，一個戶口出現保安漏洞，危機也隨時蔓延其他戶口。

（綜合報道）