Facebook 表示, 当攻击者利用一个安全漏洞访问用户个人数据后, 至少有5 000 万用户的数据被确认存在安全风险。出于安全考虑, Facebook 还会重置额外4 000 万个账户作为一种预防措施。这意味着, 在过去一天中, 大约9 000 万用户的账户被注销, 其中包括 Facebook Messenger 的用户。

  虽然目前没有出现任何账户遭盗用或是被不当访问, 但是攻击者正在使用 Facebook 开发者API 获取信息。例如“姓名、性别和家乡”等信息都与用户的个人主页相关联。Facebook 认为, 私人消息似乎不太可能被访问, 信用卡信息没有被泄露。

  此次攻击所使用的安全漏洞产生于2017 年7 月, 但直到9 月16 日异常活动数量激增, Facebook 才发现这个漏洞。这意味着, 黑客有可能长时间访问用户数据, 并且Facebook 仍不确定本次攻击是何时发生、是谁攻击。美国联邦调查局正在对此展开调查。

  Facebook 发现, 不是一个而是三个错误导致本次数据泄露。Facebook 产品管理副总裁Guy Rosen 在接受记者电话采访时表示, 2017 年7 月Facebook 无意中在其视频上传工具中“制造”了三个漏洞, 一旦使用“View As”功能查看个人资料, 视频上传工具在本不该显示的时候, 偶尔也会出现。当它出现时, 视频上传工具便利用可被访问用户的数据生成访问令牌, 攻击者便可以登录账户。Facebook 表示, 已在9 月27 日修复了这个漏洞, 重置用户访问权限, 以保护他们账户的安全。

  如果Facebook 被发现违反了欧洲数据保护规定, 例如, 最新推行的《一般数据保护条例》(GDPR), 该公司可能面临最高相当于其全球收入4%的罚款。然而, 在Facebook 更多了解本次数据泄露事件的性质和用户面临的风险之前, 欧盟将无法对这家社交网络巨头处以这种罚款。

  (编译自：https://techcrunch.com/2018/09/28/everything-you-need-to-know-about-facebooks-data-breach-affecting-50m-users/.)

  (本刊讯)