Facebook 又爆数据泄漏,这是扎克伯格的战争和大考

Facebook 又爆数据泄漏,这是扎克伯格的战争和大考

这一次的数据泄漏,相当于从另一个角度向人们揭示了:Facebook 的问题,其实并非道德问题,而还是一个技术问题。

数据泄漏、操纵选举、国会听证……Facebook 正度过自成立以来最艰难的一年。从今年 6 月到今天,短短三个月的时间,Facebook 的股价下跌了近 25%,市值蒸发近 1500 亿美元。

但噩梦还远没有结束。Facebook 的隐私问题在美国当地时间本周五进一步升级,它在自己的官方博客里公布,因为自身的平台的安全漏洞,导致攻击者可以完全接管、支配用户的账户,这一安全问题影响了接近 5000 万用户。

从道德瑕疵到技术漏洞

3 月的时候,Facebook 面对的更多是一种道德指控。剑桥分析通过「合理地」利用 Facebook 的数据接口,获得了 5000 万用户的数据,并将这些数据最终用于帮助特朗普在 2016 年的美国总统大选中胜出。这一切完全是在 Facebook 正常的产品机制框架下进行的,Facebook 的问题在于没有提前预料到自己设计的产品机制有如此巨大的负面影响,以至于从某种程度上左右到了一场总统选举。

但这一次,问题已经不是 Facebook 能够控制的了。根据 Facebook 的说法,虽然安全漏洞现已被修复,但在之前,黑客通过此漏洞可以获取被攻击用户个人资料中的全部内容,甚至可能包括他们与好友的通讯内容。Facebook 在周五早上对一共 9000 万用户的账户采取了相关保护措施,用户需要在他们的所有设备上重新输入账号密码进行登录。其中有 5000 万确定已受到该漏洞的影响,还有 4000 万可能受到过该漏洞的影响。在周五晚些时候,Facebook 进一步确认,这些用户使用 Facebook 账户登陆的第三方网站也可能受到影响,包括 Spotify、Tinder 和 Instagram。

在确认了漏洞影响到用户的规模和严重程度后,Facebook 在受影响用户的信息流首页顶部挂上了一个警示信息。其中写道「你的隐私和安全对我们而言非常重要,我们希望让你了解我们为保护你的账户而采取的行动」,如果用户点击查看更多详情,将被引导至一个显示了其账户当前全部登录设备的页面,用户可以在这个页面将那些「非本人登录」的设备注销。

坏消息是,Facebook 到现在都没有确定黑客的身份,以及他们可能的来源。Facebook 产品副总裁盖伊罗森在接受记者采访时表示,他们可能永远不会知道这些被漏洞影响到的账户以及相关数据到底有没有被窃取,被谁窃取,窃取后是否被滥用。一位名为「张志远」的台湾黑客曾在本周早些时候宣称自己将「删除扎克伯格的 Facebook 账户」,但 Facebook 官方表示「还未发现这个人与此次攻击有关」。

由「隐私功能」引发的泄漏

Facebook 官方称,对于此次数据泄漏事件的内部调查最初始于 9 月 16 日,起因是他们发现 Facebook 的用户访问量出现了不正常的激增。9 月 25 日,公司内部的工程团队发现,黑客所利用的一系列漏洞都与一个叫做「访客视图」的功能相关。该功能的作用是让用户能够以其他用户的视角来查看自己的页面,明确自己在设置了相关的隐私设置后,他人到底还能否在自己的页面上看到那些自己想隐藏的信息。

而恰恰是因为这套系统在「什么可见,什么不可见」逻辑上的复杂性,最终导致了漏洞的出现。一个漏洞导致 Facebook 的视频上传工具错误地出现在「访客视图」页面上,另一个漏洞则使黑客可以通过这个视频上传工具生成一个「登录令牌」。基于这两个漏洞,黑客能够生成并获取任意用户的「登录令牌」,并利用这个「令牌」获取登录权限,进入「已登录」的状态,最终获取用户的全部账户数据和权限。

补救和解决之道

在漏洞公开后的一场电话会议上,扎克伯格重申了他之前将安全问题比作「军备竞赛」的说法,着重强调了安全问题的严重性,以及 Facebook 对待相关问题的严肃态度。扎克伯格称「我很高兴我们发现了这个问题,使我们至少可以修复它,但不能否认的是,这个漏洞在出现之前就应当被杜绝。」

产品副总裁罗森也称这是多个 bug 因为巧合接连触发后才产生的结果,意味着只有高水平的黑客才能完成相关攻击。Facebook 已经在周五早上将受影响用户的账户全部登出,并重新设定了全部相关账户的「登录令牌」。并且他们也暂时关闭了「访客视图」这个功能,以针对这个功能进行更深入的问题排查。

在 Facebook 14 年的历史中,过去这大半年的时间大概是一个最低谷的时刻了。在接管了全世界 22 亿人的线上和线下生活之后,它掌控的力量如此强大,以至于能够在完全未被察觉的情况下影响,甚至是左右选举。这家号称要连接一切的公司,因为将一切数据连接地过于紧密,正面临多项联邦调查,涉及隐私以及数据分享和使用等问题。

就像《蜘蛛侠》里那句著名的台词,「With great power comes great responsibility.」(能力越大,责任也就越大),Facebook 今天所面临的难题不是如何获得增长或如何攫取利润的问题,也不是在「作恶」和「不作恶」之间作出一个选择。Facebook 从来都不是一家想要通过「作恶」来获得利益的公司,它只是在掌握了强大的能量之后,最终骑虎难下。

这一次的数据泄漏,相当于从另一个角度向人们揭示了:Facebook 的问题,其实并非道德问题,而还是一个技术问题。在连接了 22 亿人后,如何保证这个系统能平稳、安全地运行,让想要钻空子的人没有可乘之机?这是扎克伯格在产品层面几近完美地做完了这张考卷后,需要回答的一道,将最终决定 Facebook 命运的附加题。

*本文作者Jesse,由新芽NewSeed合作伙伴微信公众号:极客公园授权发布,转载请联系原出处。如内容、图片有任何版权问题,请联系新芽NewSeed处理。