Facebook黑客攻击使成千上万的其他网站面临风险

当马克·扎克伯格 (Mark Zuckerberg) 推出一种名为Facebook Connect 2008年的在线工具时，他称赞它是互联网其余部分的一种数字护照。只需单击几下，用户就可以使用其Facebook密码登录其他应用程序和网站。该工具被数千家其他公司采用，从流行音乐出版公司到Airbnb和Uber等知名科技公司。

现在，这些机构可能已经暴露于Facebook计算机系统受到攻击的后果。周五，该公司表示，至少有5000万名Facebook用户的帐户输入密钥在该公司14年历史上最大规模的黑客入侵中被盗。

但影响可能会大得多，因为这些被盗的凭证可能被用来访问这么多其他网站。允许客户使用Facebook Connect登录的公司正在争先恐后地弄清楚自己的用户帐户是否已被泄露。黑客攻击及其后果突显了Facebook巩固自己作为互联网身份的能力，以及当一家受到如此多信任的公司的安全系统失败时会发生什么。

芝加哥伊利诺伊大学 (University of Illinois at Chicago) 计算机科学助理教授杰森·波拉基斯 (Jason polakis) 说: “这一事实的存在将放大任何黑客攻击的规模。”

在欧洲，严格的新数据隐私法规于5月生效，当局正在准备对Facebook违规行为进行调查。负责监督该地区Facebook的爱尔兰数据保护委员会表示，该委员会正在收集信息并确定其调查范围。

Tinder及其母公司the Match Group的发言人贾斯汀·萨科 (Justine Sacco) 在一份声明中表示，基于 “Facebook提供的有限信息”，约会应用程序Tinder没有发现账户被攻破的证据。Tinder以及其他Match Group应用程序都依赖Facebook Connect作为登录方法。

Sacco女士补充说，Facebook可以通过提供受攻击的特定用户列表来提供更多帮助。

在过去的十年中，Facebook在Facebook Connect上出售了外部公司，并提出了一个简单的建议: 连接到我们的平台，我们将使人们更快，更轻松地使用您的应用程序。连接工具是关于实现无处不在的。Facebook认为，如果这样做更容易，用户将更倾向于注册新的应用程序和网站。它还带来了更多的安全性，因为用户无需在每次注册新应用程序时创建和记住新密码。

但在2017年7月，这一安全措施不足。通过利用三个软件错误，攻击者伪造了 “访问令牌”，即用于进入用户帐户的数字密钥。从那里，黑客能够在用户自己的Facebook帐户上做任何事情，包括登录第三方应用程序。

在周二晚间的一篇博客文章中，Facebook表示，对被泄露的接近5000万账户的持续调查 “到目前为止，没有发现攻击者使用Facebook登录访问任何应用程序的证据。”

但是，对于可能受到影响的另外4000万个Facebook帐户仍然存在疑问。Facebook强迫这些4000万用户注销并重新验证其凭据。目前尚不清楚这些帐户是否使用Facebook连接到外部应用程序。

Facebook援引 “大量谨慎” 的话说，它正在构建一种工具，以帮助外部开发人员通过在其服务上定位可能受到威胁的帐户来识别在黑客攻击中受到影响的用户。

在周五与记者的电话会议中，Facebook表示尚未评估违规行为的范围，该公司也未发现谁应对此次袭击负责。

Facebook的漏洞让人想起2016年披露的对雅虎的灾难性攻击。雅虎表示，攻击者已经获得了该公司代码的访问权，并使用它来伪造3200万访问令牌，就像从Facebook窃取的令牌一样。黑客通常以大型凭据数据库为目标，如果用户为多个站点创建了相同的密码或使用其Facebook帐户登录了第三方帐户，则可以提供对其他帐户的访问权限。

自周五以来，Facebook一直在与其他公司的开发人员通话，以解释他们可以采取的措施来评估自己组织的损失。Uber发言人Melanie Ensign表示，叫车巨头Uber的安全团队正在将一些用户从其帐户中注销，以保持谨慎。它要求他们重新登录一项预防措施，以使较旧的被盗访问令牌无效。优步已经审查了过去一年的登录数据，没有发现任何迹象表明Facebook凭据使用不当。

“但是我们仍然需要进行调查，” Ensign女士说。“对于那些风险最大的人，我们已经注销了他们，所以他们必须重新登录账户。”

Facebook面临着来自国内外监管机构的影响。周五，弗吉尼亚州的参议员马克·沃纳 (Mark Warner) 和康涅狄格州的理查德·布卢门撒尔 (Richard Blumenthal) 都是民主党人，借此机会再次呼吁限制大型科技公司的立法。

欧盟的调查将是对其新的数据保护法《通用数据保护条例》的早期测试。该法律允许Facebook被处以其全球收入4% 的罚款，尽管许多人认为这种结果不太可能。

伦敦律师事务所Wedlake Bell数据保护业务负责人詹姆斯·卡斯特罗-爱德华兹 (James Castro-Edwards) 表示: “g.d.p.R.旨在解决大型科技巨头的问题，这些巨头拥有巨大的资源，并且使用个人数据做非常复杂的事情。”“这是G.D.p.R.被起草用于的那种战斗。”

随着Facebook的力量增长，一些外部公司对过度依赖它变得警惕。

虽然Tinder最初几年都完全依靠Facebook登录，但这家约会公司去年推出了一种让人们无需使用Facebook即可创建新帐户的方法。此后，使用Facebook Connect注册Tinder的新用户不到25%。

同样，Netflix三年前停止允许用户使用其Facebook帐户进行连接，新客户在注册时必须创建用户名和密码。

但是，对于成千上万依靠Facebook为客户服务的其他公司来说，目前尚不清楚他们是否会知道损害的程度。

波拉基斯表示: “如此多的网站支持Facebook登录，而且它长期以来很容易受到攻击，很难让人知道这次攻击的范围。”