漏洞存在逾年　牽連其他賬戶登入程式黑客入侵fb　九千萬戶恐「失控」

【蘋果日報】全球最大網上社交平台facebook前日公佈，發現一個已存在逾年的嚴重保安漏洞，近5,000萬賬戶被黑客入侵，連教主朱克伯格（Mark Zuckerberg）和營運總監桑德伯格（Sheryl Sandberg）也遭殃，另外有4,000萬戶亦懷疑受影響，facebook要緊急重置這9,000萬戶的存取，全部需重新登入。fb承認迄今仍未查出黑客的身份，也不清楚有沒有賬戶被盜用，事件令外界再度質疑後知後覺的fb，是否有能力保障全球近22億用戶的私隱。
fb在保安公告指出，其工程團隊本月中察覺系統受到黑客攻擊，順藤摸瓜下發現fb的「預覽個人檔案」（View As）功能編碼存在嚴重漏洞，可讓黑客偷取存取代碼（access tokens），控制別人的賬戶，公司立即採取三部曲補救：第一，堵塞編碼漏洞，並通報歐美執法機關；第二，為安全起見，強制9,000萬戶登出，重置存取代碼；第三，暫停「預覽個人檔案」功能，直至完成保安檢討。
藉預覽功能盜存取代碼
根據fb的講法，存取代碼不同於登入密碼，前者等同數碼鑰匙，主要是方便用戶使用facebook手機程式時，毋須每次輸入密碼登入，黑客取得存取代碼，就能完全控制目標戶口。
肇事的「預覽個人檔案」功能，是fb的私隱檢視工具，可讓使用者從其他用戶的角度，查看自己的個人簡介，確認有那些資訊會公開給特定對象。可是，這個原本是用來保護私隱的工具，如今卻反過來被黑客利用來侵犯私隱，着實諷刺。fb不排除稍後會發現有更多受害者，又提醒被強制登出的用戶，他們利用fb賬戶登入的第三方應用程式亦會受影響，例如Instagram等，警告黑客或會將魔爪伸入這些程式。
fb產品管理業務副主席羅森坦言，黑客是以複雜手段串聯起「預覽個人檔案」三個不同的錯誤，盜存取代碼。事源是本應只能閱覽的「預覽個人檔案」，錯誤讓用戶可以使用祝賀朋友生日快樂的片段上載插件，這款插件去年7月推出的新版本，使用時又會錯誤產生可以登入fb手機程式的存取代碼，但最致命的錯誤是，這些存取代碼並不是給予用戶本人，而是給予被用戶查看的友人。結果火燒連環船，黑客通過fb朋友網，輕易入侵大量目標。
朱克伯格道歉：嚴重事故
fb總裁朱克伯格召開電話會議向記者解畫，他指今次是「嚴重事故」，雖然沒迹像顯示黑客曾閱讀用戶的私人訊息，但「未能肯定有沒有戶口遭盜用」。羅森也稱「無法斷定（黑客）是否有特定目標」，他為此向公眾道歉，強調事件中無用戶密碼及信用卡資料外洩。
今次保安漏洞令到矢言加強保障用戶私隱的fb非常尷尬，公司今年較早前深陷「劍橋分析」醜聞，8,700萬用戶資料被挪用來制訂多國選舉策略，引起軒然大波，朱克伯格要到國會作證兼道歉，fb事後將保安團隊擴編至2萬人，可是「預覽個人檔案」的嚴重漏洞竟然存在逾年才被發現，令外界質疑fb未有認真看待問題，美國聯邦貿易委員會主席喬普拉批評fb「不作為的代價正不斷增加，我們要求解釋。」
美聯社/《紐約時報》