社交網絡巨頭Facebook本周公布了其系統遭受攻擊的更多細節，據稱該系統通過令牌操作能夠暴露用戶的個人詳細信息。不過目前已將受影響用戶范圍從5000萬縮減到3000萬。

[[246231]]

Facebook于9月25日發現遭到攻擊，并于上月底宣布了這一漏洞：Facebook的“僅查看(view-only)”系統存在缺陷，此系統允許用戶查看其個人資料和其他網頁，就好像是其他用戶在瀏覽一樣。而攻擊者則其中漏洞逐步獲取任意用戶帳戶令牌的訪問權限 - 允許他們訪問所謂的私人信息，而無需知道與所述帳戶相關聯的密碼。

當時，Facebook產品管理副總裁蓋伊羅森表示，此漏洞暴露了大約5000萬用戶帳戶，另有4000萬用戶可能因使用“僅查看”功能而暴露出來?，F在正將這一估計數量減少到大約3000萬，實際上這些人的令牌已經被盜了。

首先，攻擊者已經控制了一組賬戶，這些賬戶與Facebook上的好友有關。他們使用自動遷移技術從帳戶轉移到另一帳戶，這樣他們就可以竊取更多好友的訪問權限，以及這些好友的朋友等等，總共涉及約有40萬實際用戶。其中包括時間軸上的帖子、他們的朋友列表、他們所屬的群組以及最近的Messenger對話名稱。雖然消息內容不可用于攻擊者，但有一個例外，即如果此組內的某人是頁面管理員的話。

隨后攻擊者利用這40萬人好友名單中的一部分來竊取大約3000萬人的訪問權限。對于其中1500萬人來說，攻擊者訪問了兩組信息：姓名和聯系方式(電話號碼、電子郵件)。對于另外1400萬人來說，攻擊者則能夠訪問到更多的個人信息，包括用戶名、性別、區域/語言、關系狀態、宗教、家鄉、所在城市、出生日期、教育、工作、用于訪問Facebook的設備類型、他們簽入或標記的最后10個地方/網站，以及他們關注的人或頁面以及最近的15次搜索等等。

雖然遭受此等大規模信息泄露的攻擊事件，并不是什么光彩的事，但像Facebook這樣敢于及時公開并提醒用戶注意的公司并不多見，當然也許是為了避免通用數據保護條例(GDPR)的重罰。但無論怎么說，對于攻擊事件的快速響應，并站到用戶角度及時給予解決，仍是比較積極的。