一文看懂Facebook为何爆保安漏洞　Login功能令危机影响更广更深

丑闻多多的Facebook再爆出大新闻，网站出现保安漏洞，导致5000万个户口有遭入侵危机，公司急急补镬。
为何Facebook会出现这个保安漏洞？用户有甚么危机？事实上，这次牵涉的登入保安问题，与过往卖资料、私隐外泄丑闻不同，影响范围甚至超出Facebook，因不少用家透过Facebook户口登入其他社交网站程式，包括Instagram、Spotify等，这些户口也有可能遭到入侵。

Facebook行政总裁朱克伯格（Mark Zuckerberg）4月出席美国国会听证会时，曾有国会议员问他：“Facebook有遭黑客入侵过吗？”当时朱克伯格回答称，Facebook在2013年曾遭恶意软件攻击，但尚未发生过严重的黑客入侵事件。

言犹在耳，Facebook周五（28日）就宣布有黑客成功找到Facebook的保安漏洞，令他们有能力入侵多达5000万个户口，结果Facebook要强制9000万个户口转为登出状态，以防黑客再有机可乘。虽然与Facebook每月22亿个活跃用户相比，5000万个户口不是多数，但数目已经足够惊人。按朱格伯格形容，事件“非常严重”。

为何Facebook会爆保安漏洞？

Facebook这次爆出保安漏洞，源于一个称为“View As”的功能，它是让用户在设定自己的Facebook页面时，能够预览他人观看自己Facebook的页面是甚么样子，例如哪些资料可让某位特定用户看到、哪些看不到等。此功能本来并没有问题，但在2017年7月时，Facebook改动了另一让用户修改影片的功能，令“View As”出现保安漏洞，让黑客能够窃取用户的“存取令牌”（access tokens）。他们就是凭此进入到用户帐号。这个“存取令牌”相当于用户的数码登录代码（Digital keys），让用户能够在不需要再输入密码的情况下，继续使用户口。

Facebook自2017年7月以来，一直未得知出现保安漏洞，直至2018年9月中，Facebook发现网站出现有异常活动，才开始意识到这个问题。

Facebook在周二（25日）得悉有人利用此漏洞后，除了设法修补外，就先停止“View As”功能，然后重设大量用户的“存取令牌”，包括已知受影响的5000万名用户的，以及另外4000万个曾在2017年使用“View As”功能的用户。

这些用户在重设“存取令牌”后，将要重新登入户口。换言之，若然用户发现近日Facebook户口自动遭登出，要重新输入密码，也就有可能是受影响用户之一了。

黑客窃取了甚么资料？

按Facebook的说法，攻击者尝试利用程式窃取用户的一些个人档案资料，例如是名字、性别、居住地方等，但目前看来应该没有窃取到用户在通讯程式的对话资料，也没有信用卡资料遭盗取。

当然这只是Facebook在初步调查后的说法，未来可能有变。

更大的问题？其他社交户口同受影响

随着现今网络愈见方便，用户在Facebook存取大量个人资料，除了上传相片、打卡外，更会在与朋友的对话间，可能透露过自己的私隐资料，例如是地址、证件号码等。这些资料若然外泄，随时有麻烦。

但这次Facebook事件更暴露一个问题，就是“Facebook Login”功能，这个功能让用户在其他社交网站，也一样可以用Facebook户口来登入，不用再另外注册户口，网站包括Tinder、Airbnb、Instagram、Spotify等。

按英国《电讯报》报道，Facebook周六（29日）承认这次黑客事件会影响“Facebook Login”功能，意味受影响用户在其他社交网站存入的资料，一样有危机。

在一般情况下，这种利用一个Facebook户口、就能登入多个社交网站户口的方法，带给用户方便，省却用户注册新户口的时间，但是一旦出事，一个户口出现保安漏洞，危机也随时蔓延其他户口。

（综合报道）