关于我们 | 电销外包分站 欢迎来到女子电销外包平台    服务咨询电话: 136-6732-6711 服务监督电话: 136-6732-6711
客户服务时间:7 X 24小时 136-6732-6711
136-6732-6711
电销客服外包
电销客服外包
您的当前位置: 首页-电销客服外包-电销话务员外包
关于Facebook最近的数据泄露,你需要知道的一切

关于Facebook最近的数据泄露,你需要知道的一切

电话:136-6732-6711
女子电销外包热线: 136-6732-6711 / 136-6732-6711
详细介绍
当Facebook上周五宣布5000万用户账户被泄露时,我们很多人都不知道该怎么想。

这是否意味着5000万用户接触到了2016年美国总统选举期间协调一致的虚假信息活动的内容?

,还是说他们的个人数据被应用程序开发人员不当获取,就像剑桥Analytica丑闻中8700万用户的情况一样?

和都不是。这一次,坏的参与者是黑客——他们能够利用三个不同的网站漏洞,从而接管用户帐户,并像自己是帐户所有者一样使用它们。

,但似乎人们对到底发生了什么以及其影响可能有多严重存在着广泛的误解。这是可以理解的——这是一个复杂的黑客攻击,尚未披露大量信息,尤其是Facebook,导致用户反应不一。

下面是发生的事情——以及我们的数据显示,鉴于最新的违规行为,用户情绪如何,以及这种反应背后可能的原因。产品管理副总裁盖伊·罗森(Guy Rosen)在一份官方声明中称,Facebook于9月28日(星期五)报告了这一违规行为,大约是在据称发现完整问题的三天后。

根据罗森在一次新闻发布会上的讲话,该网站通常在9月中旬(即16日)左右检测到活动激增,这导致了一项调查,并在28日获得了完整的发现。

网站的“查看方式”功能中有一个漏洞,该漏洞允许用户查看他们的配置文件在其他用户看来可能是什么样子。

来源:TechCrunch

使用“查看为”功能应该只允许您这样做——并且在正常运行时,它会阻止任何将文本输入到合成框或以其他方式更改正在查看的配置文件的功能。

然而,由于个bug,View As提供了上传视频的机会。

第二个错误是因为显示了视频上传程序。

对于第二个bug,视频上传程序错误地生成了一个访问令牌。

什么是访问令牌?本质上,访问令牌允许你使用一个帐户(如Facebook、Twitter或谷歌)登录多个不同的服务或应用。

您可能熟悉Facebook登录,它允许用户使用其Facebook凭据登录应用程序,无论是Facebook本身还是其他使用这些权限的应用程序,如Tinder。下面的图片显示了Tinder上Facebook登录的样子。

访问令牌然后为第三方应用程序提供对用户Facebook数据的访问权——如上图所示的Tinder登录中指示的公共配置文件、好友列表、生日、照片、页面喜好和电子邮件地址。

网站开发总监德米特里·沙米斯(Dmitry Shamis)将访问令牌描述为“一个你不必重新输入的密码”,它允许你保持登录Facebook和其他应用程序的状态,而无需再次执行该过程。

这是第三个bug出现的地方。个和第二个bug生成的访问令牌实际上是用于在“查看身份”框中输入姓名的用户的帐户,而不是正在查看其个人资料的用户。

正如Rosen所说:生成的访问令牌“不是为您,而是为被查找的人。然后,该访问令牌在页面的HTML中可用,攻击者可以提取并利用该令牌作为另一个用户登录。”因此,黑客可以“像使用账户持有人一样使用账户”,罗森说。大约5000万用户的访问令牌被拿走。Facebook还表示,另有4000万用户需要“视为”查找r去年——但尚不清楚这些账户是否使用了访问令牌。

为什么它可能比看起来更糟糕Facebook概述了它为应对漏洞而采取的措施,首先修复“漏洞”,删除视图作为功能(目前),并为受黑客攻击影响的5000万帐户完全重置访问令牌。

根据Rosen在上周五上午的一次新闻发布会上发表的言论,重置使黑客获取的访问令牌“不再可用”

,但根据芝加哥伊利诺伊大学计算机科学助理教授Jason Polakis的说法,可能不是这样,这是基于他和他在该大学进行的一项研究得出的结论。

根据这项研究的发现,如果这起Facebook入侵事件中的黑客确实获得了对第三方应用程序的访问权,就像罗森描述的那样,他们有办法保持这种访问权,即使令牌被重置。

更重要的是,一旦攻击者获得对这些第三方的访问权,他们就可以使用这些网站设置的cookie来维护对这些网站中用户帐户的访问。无论FB做什么,他们都无法阻止攻击者访问这些帐户。(9/n)

-jason polakis(@jpolakis)2018年9月29日

现在,polakis肯定会指定这种现象可能“不适用于这里”但Facebook表示,它对黑客如何使用这些访问令牌知之甚少,也不确定这些令牌最初是何时获得的。根据Axios的说法,Tinder后来表示,没有发现任何“根据Facebook提供的有限信息访问账户的证据”——但与此同时,Facebook没有向该应用提供受黑客影响的用户列表。Tinder说,掌握这些信息将“非常有助于”确定被盗访问令牌在其应用程序上的使用方式。

新增:Tinder表示,没有证据表明Facebook的违规行为导致账户被“访问”,但表示Facebook没有分享对其调查“非常有帮助”的信息。https://t.co/EYMrv4qAwitip@techmeme

-David McCabe(@dmccabe)2018年10月1日

Spotify也提供Facebook登录,该公司还告诉该出版物,它没有因黑客行为而遭到破坏。Facebook表示,其对该问题的调查仍处于早期阶段。

Facebook在周二的一份声明中写道,对其“上周发现的攻击中安装或登录的所有第三方应用的日志……进行调查和分析后,迄今未发现任何证据表明攻击者使用Facebook登录访问了任何应用。”但正如恶意软件专家杰克·威廉姆斯(Jake Williams)所概述的那样,关于黑客攻击的潜在影响范围以及对第三方应用程序登录的影响,仍有一些悬而未决的问题:

Facebook在这里没有说的是:1。他们的日志用于访问令牌的时间有多远?2.哪些第三方应用会定期检查令牌的有效性?3.滥用访问令牌的证据是什么?他们在查什么?https://t.co/BE7XhIhYCp

-杰克·威廉姆斯(@MalwareJake)2018年10月2日

公众认知:人们关心黑客吗?

在违规消息披露后的周一,我们进行了两次调查。

项调查询问了美国、英国和加拿大的727名互联网用户:“继Facebook上周宣布的网站黑客攻击之后,你是否或多或少信任Facebook存储你的个人身份信息?”

近一半的受访者表示,他们不太可能相信Facebook提供的个人身份信息。

然后,我们进行了第二次调查,删除了对网站黑客的任何提及。我们分别询问了美国、英国和英国的753名互联网用户,加拿大:在过去的一周里,你如何衡量你对Facebook的整体信任度?

注意到响应的差异。这一次,几乎同样多的人表示,他们对Facebook的信任度有所下降,表明他们对该公司的信任度保持不变。

那么如何解释这种差异呢?尽管我在次调查中听到了关于“KDAN”的回答,但我不知道有多少受访者选择了“KDAN”。

有没有可能因为我们在问题中包含了黑客,它会促使受访者在回答问题之前寻求更多信息?社交媒体用户是否必须被告知他们应该感到愤怒?还是说,鉴于Facebook已经是动荡的一年,人们并不感到惊讶?如果你问营销副总裁乔恩·迪克,答案可能在第三个答案中。

“我的感觉是,人们只是认为他们的数据不断被泄露,所以Facebook新闻甚至没有让人们感到恐慌。你可以在第二次结果中看到这一点,”他说。“但当我们让人们意识到确实发生了坏事时,我们会引发更多的反应。”

和结合了这种缺乏警觉(除非另有提示)的情况,以及许多用户仍然依赖Facebook实现多种目的的事实。每月活跃用户的增长可能已经放缓,但在全球范围内,每月仍有2.234亿人在该网站上。

“我个人的观点是,人们正在进行心理权衡。它是家庭成员、新闻、整个社会的主要联系点,”营销副总裁梅根·基尼·安德森说。“目前,还没有可行的替代方案。我认为人们正在做的权衡是该连接点的真正价值,而不是个人尚未意识到的对隐私或数据安全的威胁。”

下一步是什么至于下一步是什么,时间会告诉我们。正如Facebook自己所说,对这起违规事件的调查仍处于早期阶段。这可能意味着对用户的全面影响尚待确定或发现——随着更多信息的披露,它可能会继续影响公众对Facebook的看法。Keaney Anderson说:“我认为一些人不太可能改变他们的行为,除非他们遭受隐私损失的严重影响。”。

就目前而言,我们其他人——包括营销人员——能做些什么来处理和解决这个问题?Keaney Anderson表示,主要任务是让观众了解情况。

“目前可以做的一些工作是教育人们,由于数据泄露,他们应该注意什么,”她建议说。“这可以帮助人们校准他们的反应。”

随着更多细节的出现,我们将继续讨论这个问题。

2019年10月3日星期三,美国东部时间上午8:50:这篇文章已经更新,包括Facebook在使用Facebook登录的应用程序上的声明。

最初发布于2018年10月2日上午11:54:11,更新于2019年12月11日

别忘了分享这篇帖子

城市分站: 更多