屋漏偏逢连夜雨。5天前,Facebook旗下Instagram的两位联合创始人被传因和Facebook的CEO扎克伯格(Mark Zuckerberg)不和,双双离职。28日,Facebook又爆出史上最大规模信息泄露事件,近5000万用户账号遭到攻击,面临被黑客盗号的风险。没错,又是Facebook,又是数据泄露,不少人似乎已经习惯了,看到类似新闻的反应是:已阅,右上角关闭。面对如此现状,《大西洋月刊》忍不住用一篇评论,敲醒数据时代那些对信息泄露见怪不怪,只知围观的人。
根据Facebook28日透露的消息,公司工程师25日发现了一个安全漏洞:黑客可以通过攻击“查看为”(View As)功能中的漏洞,获取数字秘钥,进而掌控用户的账户。据Facebook称,“查看为”是一项隐私功能,允许人们预览自己的个人资料在其他用户处的显示界面(类似可见权限,如你的朋友、朋友的朋友,或陌生人查看你的资料时,显示的内容是不同的)。攻击者正是发现了该功能中的多个漏洞,窃取了Facebook访问标识——能让用户在浏览器或App上保持登录,不必重复输入密码的数字秘钥。
拥有数字秘钥,等于是完全掌控了用户的账号,包括可以用Facebook账号在第三方应用(如爱彼迎AirBnB、约会软件Tinder等)上登录。Facebook承认,近5000万用户成为此次安全漏洞的受害者,就连Facebook创始人扎克伯格和公司首席运营官桑德伯格(Sheryl Sandberg)也未能幸免。BBC报道称,Facebook不会公布“受害”的5000万用户具体分布在何地,但可以确认的是,Facebook已就此事通知了位于其欧洲子公司所在地的爱尔兰数据监管机构。
▲Facebook每月活跃用户数量超过20亿。9月28日,Facebook股价下跌超过3%。
负责公司产品管理的副总裁罗森(Guy Rosen)称,Facebook已于27日修补了漏洞,重置了所有受影响的账户,并对另外4000万用户采取了“预防措施”。受影响的用户将会收到Facebook的通知,要求其退出账号并使用原先的密码重新登录。在对信息泄露事件致歉后,罗森坦言:“隐私和安全非常重要。由于我们刚开始调查,尚未确定这些账户是否存在被滥用误用或信息被盗的问题。我们也还不清楚此次攻击的幕后主使以及他们所在的位置。”
信息泄露糟心,但最要命的是“习惯了”想想就可怕,掌握了你的Facebook账户后,攻击者可以查看你所有的帖子、朋友,联系人信息、消息等等,还可以以你的身份“为所欲为”,访问你通过Facebook登录过的其他服务。这还不止,同样的事还发生在你的配偶、孩子、老板、朋友身上。
可有件事比这更可怕。《大西洋月刊》注意到,尽管近年来发生了这么多与Facebook有关的“坏事”,可人们对自己被背叛、出卖的感觉却相当“低调”。《大西洋月刊》忍不住发问:难道是因为经历了Facebook提取用户数据、纵容非法和歧视性广告、和别家共享用户信息、干预大选、传播暴力异见的种种越界事件后,人们已经觉得被人盗号似乎也没那么糟糕了?
仔细想一下,当黑客和数据泄露事件越来越常见时,面对类似事件,人们似乎真的适应了,没有那么愤怒了。2014年索尼影业遭黑客攻击,被广泛报道为一次重大的行业和政治事件,记者们当时甚至对被公布的数据穷追不舍。2015年全球最大的婚外情网站“阿什利·麦迪逊”(AshleyMadison.com)被黑客攻击后,每个人开始意识到,不只是权力玩家会被“黑”,普通人也一样脆弱。但渐渐地,经历了2017年美国三大征信公司之一的Equifax爆出违规泄露半数美国人敏感个人信息、2018年“剑桥分析”数据丑闻,以及科技巨头们涉嫌操纵美国大选等“大新闻”后,有人偷偷地看了你的私藏照片或私信,反而让人觉得是司空见惯的“小事”了。
当然,这一切本不该是这样。信息安全问题犹如一场军备竞赛,每一种补救措施无疑都会带来新的潜在弱点,因此Facebook不时出现漏洞是意料之中的,但用户们仍然应该对Facebook会尽其所能保护用户与其共享的信息有所期望。目前,扎克伯格正在呼吁用人工智能(AI)解决黑客攻击、信息滥用、检测仇恨语言和虚假信息。虽然“药效”未知,也未见“药到病除”,但科技巨头们保护隐私权的努力和尝试仍然值得肯定。
对不少人来说,社交软件越来越多,能把账号密码记住就已经能拿满分了,还得防止账号被盗?脑壳疼!但其实,安全管理社交账号并没有你想象得那么难。对于此次Facebook的信息泄露,《纽约时报》给出了3个防“黑”小建议,一起来借鉴一下吧:
1)进行设备审核
想确定是否有人获取了对你账户的不当访问权限,最佳方法是对你用于登录Facebook的设备进行审核。在Facebook的“安全和登录”页面上,有个“你登录的位置”标签,可以查看登录你账户的设备列表及其位置。如果您看到一个不熟悉的设备在奇怪的位置登录了你的账号,你可以点击“删除”按钮把它从你的账户中踢出去。
2)更改密码
虽然Facebook表示已经修复了漏洞,无需更改账户密码,但为了安全起见,你还是应该改个密码,尤其是如果你原来的密码安全性较弱,或是之前出现过在可疑设备上登录的情况。而如果要改密码,尽量选择一个复杂一点的长密码,不要重复使用在其他网站上用过的密码,可以添加数字和特殊字符(比如像“Green4782#”)。当然,为了管理好自己的众多密码,也便于登录,你也可以考虑使用密码管理App,如1Password或LastPass。
3)打开双重身份验证(建议每个用户开启此功能)
与许多网站一样,Facebook提供了双重身份验证的安全功能,用户必须使用短信验证码和账号密码才能成功登录。这样一来,即使有人得到了你的密码,没有验证码也很难登录。
图片来源:大西洋月刊、东方IC
iWeekly周末画报独家稿件,未经许可请勿转载
