审查删帖、禁止讨论！爆出惊天漏洞的Facebook给自己火上浇油

李根 问耕 发自 凹非寺 
量子位 报道 | 公众号 QbitAI

敏感时间点，敏感公司，最敏感的用户数据，又一次泄露了。

而且最尴尬的是：曝出如此惊天漏洞后，这家公司竟然还玩起审查删帖、禁止讨论那一套。

不要脸？

可这公司名字就叫Facebook.

敏感时间敏感数据再次泄露

今天(9月29日)，北京时间大清早，Facebook主动披露了一起安全隐患事件。

Facebook识别监测到，自家代码在“预览(View As)”功能方面存在缺陷。

所谓“预览”功能，可以让你自己看到“在别人那里的样子”——并且是非好友关系的情况下。

类比起来，相当于在某个非好友的微信群里，以陌生人视角看自己资料。

但是，这个功能有一个大大大漏洞，包含了3个不同bug.

黑客可以利用这个漏洞，获取“访问令牌”(access token)，从而控制其他用户的帐号。

而且，真有黑客这么干了！

据Facebook自己披露所言，漏洞最早出现时间2017年7月，但2018年9月16日才引起注意——因为当天忽然用户活动大增，于是又过了一星期，Facebook工程师们终于确认：

近5000万个用户帐号的“访问令牌”，已被黑客获取。

什么概念？

利用这些“访问令牌”，一个攻击者可以控制5000万用户帐号，更别说用这些帐号信息干点别的了。

虽然Facebook的CEO小扎亲自出面说明：目前尚无证据表明有帐户被盗用。

但这种事情，来得真不是时候。

因为当前，正处美国中期选举的重要时间点。

中期选举，不如美国总统大选那样全球关注，但也是影响美国历史进程的重要活动，毕竟争夺的可是国会议席。

甚至美国两党之间的中期选举厮杀，要比总统大选更惨烈、更无底线。

比如最近被提名大法官遭遇的性骚扰举报事件。

于是，也总有一些莫名其妙的幺蛾子在中期选举出现，随便什么风吹草动，也都让美国人民草木皆兵。

更何况是深刻体味了川普大选时的Facebook数据泄露后果。

美国人民能不担心吗？

小扎说不担心，然并卵

但与上次用户信息泄露时的态度不同，这次Facebook可谓火急火燎，态度重视得一X.

CEO扎克伯格立即亲自出面致歉、解释，说这个问题非常严重，Facebook非常重视，问题已经得到了初步解决。

小扎还说，目前还没有证据表明有帐号信息被盗。

并且Facebook重置了5000多万受影响账户的访问令牌，还出于谨慎考虑重置了另外4000万去年曾使用过“预览”功能的用户。

这9000万Facebook用户被强行登出帐号，不得不登录Facebook或他们的任何使用Facebook登录的应用。

按最新财报数据，意味着4%的Facebook月活用户会受此影响。

小扎还强调，暂时关闭“预览”功能之外，Facebook也会继续开发新工具，使其帐户更加安全，并防止类似事件再发生。

另外，Facebook还主动报警了，目前FBI已经介入调查。

以上种种来看，Facebook应对姿态也还能令人接受。

虽然事件一曝光，股价下跌2.59%，市值蒸发126亿美元。

但也跟这段时间Facebook高管离职影响相关。

美国公共管理和舆论方面，倒也没有像上次泄露一样炸。

然而，在一小撮工程师们聚集的地方——HackerNews——却发现了一个Facebook自己火上浇油的大问题。

审查删帖、禁止讨论！

删帖控评

首先，关于这个惊天漏洞的事儿，可不能轻易在Facebook上谈论。

相关新闻根本发不出来。据TechCrunch报道，Facebook的用户想在Facebook上分享这个大新闻时遇到了麻烦。

Jed Bracy在推特上说，FB正阻止用户发布《卫报》关于数据泄露的报道。当用户想发布时，FB会弹出这样一个警告页面：

“我们的安全系统检测出很多人分享了统一内容，这可能是垃圾。请尝试分享其他内容。”

好几个用户都在推特上晒出了类似的遭遇。

推特用户Privacy Matters还发现，即便不带链接、不写文字，只是贴一张图都不行。贴图都不行……

Facebook会提示：更新你的状态遇到问题，请稍后尝试。

而且不止英国《卫报》，美联社的报道也被禁了。

拜托，这两个颇具盛名媒体的正规报道，也能被Facebook判定为垃圾内容，也真算是匪夷所思。

这也引发了不少用户顺带吐槽Facebook乱删帖。

比方Jedi72就在Hacker News上抱怨说，自己在Facebook上发表了NSA（美国国家安全局）如何记录每个人的隐私，这些内容来自澳大利亚政府发布的另一个文件。然而这个帖子，在20分钟内消失了。

我们老说别人搞审查，实际上西方也一样，Jedi72表示。

其次，还有一些让用户生气的事情。

Facebook被认为不止屏蔽了一些媒体报道，而且还被认为早早知情却不披露，而且还在控制了另外一些媒体报道。

在刚刚结束的电话会议上，Facebook高管披露的信息显示，这家公司一周多之前，就已经知道了巨大漏洞的存在。

而且不少人抱怨Facebook的风险提示一点也不显眼。

还有眼尖的用户发现，Facebook官方宣布这一漏洞时间，是当地时间的16:42:44，而《纽约时报》发布这一消息时间是：16:45:41。

“纽约时报真快啊 ：）”，有人揶揄到。

这种操作，让网友有一种Facebook控制媒体的感觉。不过，很快也从业者出来解释说，这是一种常见的新闻运作方式。

但无论如何，都不是啥正大光明的做法。

所以也难怪前对冲经理、CNBC电视主持人Jim Cramer直言不讳：

即便在硅谷，也有很多人讨厌Facebook。

简直就是一家流氓公司，它违背了大家以往对科技公司的信任感。

将给科技圈其他人带来更多麻烦！

甚至有人把Facebook和扎克伯格，跟某中国互联网巨头及CEO放在了一起比较 ……

不知道你怎么看？

— 完 —

加入社群

量子位AI社群28群开始招募啦，欢迎对AI感兴趣的同学，在量子位公众号（QbitAI）对话界面回复关键字“交流群”，获取入群方式；

此外，量子位专业细分群(自动驾驶、CV、NLP、机器学习等)正在招募，面向正在从事相关领域的工程师及研究人员。

进专业群请在量子位公众号（QbitAI）对话界面回复关键字“专业群”，获取入群方式。（专业群审核较严，敬请谅解）

诚挚招聘

量子位正在招募编辑/记者，工作地点在北京中关村。期待有才气、有热情的同学加入我们！相关细节，请在量子位公众号(QbitAI)对话界面，回复“招聘”两个字。

量子位 QbitAI · 头条号签约作者

վ'ᴗ' ի 追踪AI技术和产品新动态