­　　Facebook 就像一輛失控的過山車，正在加速墜入深淵。

­　　在被外國黑客入侵干預(yù)前年大選、前兩天公司多名高管反水離職之后，這周還沒過完，F(xiàn)acebook 就迎來了更大的危機(jī)。

­　　該公司產(chǎn)品管理副總裁蓋·羅森 (Guy Rosen) 撰文稱：有黑客利用公司的代碼漏洞，破解了用戶登錄系統(tǒng)，多達(dá)5000萬用戶的賬戶可能被波及。

­　　仿佛今年 Cambridge Analytica 數(shù)據(jù)泄露丑聞還沒涼透，F(xiàn)acebook 就又被黑客涮了。

­　　FB 技術(shù)團(tuán)隊(duì)在本周二下午發(fā)現(xiàn)了這個(gè)漏洞，并且已經(jīng)通知美國執(zhí)法部門。目前基本確定，已經(jīng)有黑客利用這個(gè)漏洞發(fā)動(dòng)攻擊，

­　　他們目前不知道發(fā)動(dòng)攻擊的黑客的身份，也不確定有多少用戶的信息真的遭到泄露。

­　　好在，1）被波及的用戶信息不包括密碼，所以用戶不需要重置；2）發(fā)現(xiàn)之后，F(xiàn)B 已經(jīng)填上了這個(gè)漏洞

­　　這個(gè)安全漏洞存在于 Facebook 的“View As”功能的代碼中。

­　　由于 FB 的隱私設(shè)置極為繁瑣，用戶經(jīng)常不知道別人看得見、看不見自己發(fā)布的某些信息。View As 這個(gè)功能可以讓用戶以第三人稱觀看自己的賬戶，確認(rèn)隱私設(shè)置是否符合自己要求。

­　　FB 透露，利用這個(gè)漏洞黑客竊取了用戶的“訪問令牌”（access token）。

­　　訪問令牌的作用是為用戶保存密碼，這樣用戶就不用每次登陸都輸一次密碼驗(yàn)證身份。

­　　取得令牌后，黑客可以黑進(jìn)別人的賬戶，看到設(shè)置為不對外公開的帖文和信息。

­　　作為應(yīng)對，F(xiàn)B 對受到漏洞影響的5000萬用戶以及可能成為進(jìn)一步攻擊目標(biāo)的另外4000萬用戶，進(jìn)行了訪問令牌重設(shè)。

­　　這意味著，將近1億人今天登陸時(shí)將不得不重新輸入郵件/電話和密碼。

­　　同時(shí)，F(xiàn)acebook 已經(jīng)暫時(shí)關(guān)閉了“View As”功能。

­　　初步調(diào)查顯示，去年 FB 上線了一個(gè)改動(dòng)，調(diào)整了用戶上傳視頻的技術(shù)細(xì)節(jié)而這個(gè)改動(dòng)的代碼在 View As 功能里留下了漏洞。

­　　這并不是一個(gè)活躍度很高的功能，然而 FB 發(fā)現(xiàn)最近調(diào)用它的請求暴增，安全團(tuán)隊(duì)產(chǎn)生懷疑，才找到了漏洞。而且 FB 方面表示這個(gè)漏洞很難發(fā)現(xiàn)。

­　　“這次漏洞并不是密碼泄漏那種問題，即使有人提前發(fā)現(xiàn)，要利用漏洞也是要一個(gè)賬號一個(gè)賬號的攻擊，”知名網(wǎng)絡(luò)安全公司Palo Alto Networks 聯(lián)合創(chuàng)始人、現(xiàn)滴滴美國研究院負(fù)責(zé)人弓峰敏博士告訴硅星人。

­　　他認(rèn)為，這次的漏洞并不是十分嚴(yán)重。

­　　Facebook 是全球最大的社交平臺(tái)，有22億的用戶。在創(chuàng)立至今的15年里，這家公司也較少發(fā)生黑客攻擊導(dǎo)致信息泄漏的事件。嚴(yán)格來講，較大規(guī)模和影響惡劣的黑客事件，僅發(fā)生過一兩次。

­　　2013年，某個(gè)程序員自己搞砸了代碼，代碼核驗(yàn)也未發(fā)現(xiàn)，導(dǎo)致超過600萬用戶的聯(lián)系資料泄露。

­　　大約在2014、15年，數(shù)據(jù)分析公司 Cambridge Analytica 濫用 FB 的開發(fā)者平臺(tái)，對超過8700萬用戶進(jìn)行非法的數(shù)據(jù)挖掘，出售給部分美國本土競選的參選團(tuán)隊(duì)，用于干預(yù)大選，F(xiàn)B 的高層官員明知此事卻沒有任何作為。

­　　今年年初，扎克伯格曾因這一丑聞出席國會(huì)聽證會(huì)。FB 被迫接受調(diào)查，股價(jià)在當(dāng)時(shí)一度蒸發(fā)數(shù)百億美元。

­　　如今調(diào)查仍未結(jié)束，F(xiàn)B 還沒從 Cambridge Analytica 丑聞緩過勁來，就又發(fā)生了黑客入侵。

­　　當(dāng)然，嚴(yán)格來講，F(xiàn)B 也是受害者。

­　　遺憾的是，同情它的人越來越少了。這次 FB 公告發(fā)出后，網(wǎng)上一片罵聲，基本意思就是：

­　　“費(fèi)那么大勁研究如何挖掘我們的數(shù)據(jù)賺錢，怎么就不能多研究研究你們的漏洞。”

­　　在事件發(fā)生后，美國主流媒體的報(bào)道中不約而同地引用了扎克伯格之前聽證會(huì)上的宣誓：

­　　“我們有責(zé)任保護(hù)你們的數(shù)據(jù)，如果我們沒法做到，那么我們也不配給你們提供服務(wù)。”

­　　言下之意似乎在質(zhì)問扎克伯格：你是否說話算話呢？