臉書發生資安漏洞，主動登出會員防範問題 - Facebook

臉書爆發重大資安事件，攻擊者可透過漏洞取得個人帳號的「access token(存取權限)」
，影響層級達9千萬帳戶之多！


從09/28晚間開始，相信大家都有發現臉書帳號、Messenger都被登出，必須重新登入才可
使用。有人懷疑是否被盜用帳號。結果…原來是臉書發生重大資訊安全事件。根據臉書官
方再09/28發出的 資訊安全更新報告 指出：

在美國時間09/25下午，工程師團隊發現一個影響層級達5千萬帳號之多的資安問題，這個
程式碼漏洞發生於『其他用戶視角檢視』功能，這個功能主要是讓用戶可以從其他帳號的
角度，檢查自己個人動態所呈現的樣貌及可被看見的內容。由於這個功能涉及『程式權限
變化』，因此駭客利用這個程式碼漏洞取得用戶Access Token (存取權杖），這個權杖等
於是一把無須登入臉書就直接存取帳號功能與內容的鑰匙。

目前臉書官方宣稱已進行的防護作為：

1.修補漏洞，並通知執法部門。

2.重置已知受影響的5千萬個帳號 （讓所有access token失效），並預防性重置另外4千萬
的帳號的存取權杖。

3.暫時關閉『其他用戶視角檢視』功能。

第二個動作就是造成大家帳號被登出的原因。原本我們登入臉書後，之所以能持續使用，
就是因為在第一次輸入帳密登入後，會取得這個access token 存取權杖，並儲存在電腦
或者手機上，這樣臉書才能持續判斷是有權限的使用者本人正在使用，而不需每次使用臉
書都必須登入。

臉書特別說明這個安全漏洞起緣於2017年7月的一個影片上傳功能更新，而在『其他用戶
視角檢視』這個功能下被發掘到漏洞，算是功能交錯下產生的不預期漏洞。不幸地，駭客
發現這個漏洞並取得一個access token存取權杖，然後以此帳號一個接一個的挖出更多用
戶的access token。然而目前調查還在持續進行中，若影響層級有變化，臉書會即時更新
。

這次事件，因為駭客取得的是access token （存取權杖），而非使用者密碼，所以使用
者無需更改密碼...

資料來源:https://woment.com.tw/2954/facebook-security-issue-access-token/

臉書官方公告：https://newsroom.fb.com/news/2018/09/security-update/

--