史上最慘!1億臉書帳號被登出 四建議堵資安漏洞
工商時報【林昱均/台北報導】
臉書在上周五(9/28日)爆發史上最大的漏洞,導致5,000萬用戶資訊有外洩之虞。KPMG安侯建業數位科技安全團隊負責人謝昀澤昨(1)日指出,臉書用戶須做好隱私自我管理,侵害個人隱私的圖片、文字與連結資訊別放在臉書上,減少使用臉書帳號做其他系統驗證,必要時斷開臉書與其他APP或系統帳號連接。
謝昀澤表示,本次外洩起因於三大漏洞,第一是臉書保留功能,雖提供用戶以朋友角度檢視自我檔案功能,卻額外保留了臉友上傳影像的非必要功能。第二是APP漏洞,其臉書的手機APP有非必要的登入存取令。第三則是不嚴謹的程式邏輯,多餘的臉友上傳影像功能,其登入存取令可提供給用戶的查找對象,導致駭客在網頁上得以利用這些登入存取令進入他人臉書帳號。
臉書強調漏洞已經修復,但已有近一億個臉書帳號被強制登出,臉書也承認至少有5,000萬用戶被影響,目前駭客的身分與目的皆不明。(圖/中時電子報)
儘管臉書強調漏洞已經修復,但已有近一億個臉書帳號被強制登出,臉書也承認至少有5,000萬用戶被影響,目前駭客的身分與目的皆不明,也無法確定攻擊規模大小。為以防萬一,臉書全球總公司目前將「預覽我的個人檔案」暫時關閉,在全面清查過後才會重新開放。
謝昀澤表示,我國物聯網企業應充分了解軟體弱點的複雜性與管理困難度,即使是臉書以軟體提供社群服務的國際級公司,且系統多由團隊共同開發,其功能介面仍影響系統整體安全,若未能嚴加管控,就可能產生漏洞。
另外,謝昀澤也特別提醒,在近期英國航空與臉書等兩件涉及大量用戶隱私外洩的案例中發現,英國航空與臉書都在GDPR規範的72小時之內通報主管機關,並以個別或公告的方式通知用戶。雖然國內個資法對於事故通報的期限並未明確要求,但參考國際發展趨勢,謝昀澤建議我國業者未雨綢繆,應事先研議涉及用戶隱私外洩的通報程序與方式。