Facebook再次爆出安全漏洞，9000万用户受影响

今年上半年开始，美国社交媒体Facebook因数据泄露事件和涉嫌操纵选举等问题频繁接受听证会拷问，然而事情却远没有结束。今年9月Facebook再次爆出安全漏洞，导致9000万用户可能受到影响。

根据Facebook 9月28日透露的消息，此次数据泄露事件是由一个隐私功能“查看为（View As）”引起的。该功能的作用是让用户能够以其他用户的视角来查看自己的页面，明确自己在设置了相关的隐私设置后，他人到底还能否在自己的页面上看到那些自己想隐藏的信息。攻击者正是发现了该功能中的多个漏洞，利用漏洞可生成并获取任意用户的「登录令牌」，并利用这个「令牌」获取登录权限，进入「已登录」的状态，最终获取用户的全部账户数据和权限，受影响的用户可能达到9000万。

Facebook紧急要求9000万在他们的所有设备重新输入账户密码进行登录，其中已有5000万用户受到该漏洞影响，还有4000万用户可能受到过该漏洞影响。Facebook 进一步确认，这些用户使用 Facebook 账户登陆的第三方网站也可能受到影响，包括 Spotify、Tinder 和 Instagram。

由于数据泄露事件频发，从今年6月起，短短三个月的时间，Facebook 的股价下跌了近 25%，市值蒸发近 1500 亿美元。此次数据泄露事件使得Facebook股价再次下跌超过3%。由此可见数据泄露事件对上市公司带来的沉重打击。

对于企业而言，在业务相关的所有应用上使用HTTPS加密连接是必不可少的安全措施，而更重要的是，不仅要在主要业务的应用上使用HTTPS加密，而是在任何产生连接的场景中都应该使用HTTPS加密。HTTPS在HTTP基础上加入SSL/TLS协议，对服务器与终端、服务器与服务器之间的传输数据进行加密，保护数据的机密性并验证数据的完整性，防止中间人攻击和流量劫持，依靠SSL证书验证服务器身份真实性，确保数据传输到正确的通信方，防止虚假服务器钓鱼攻击。

对于用户而言，《纽约时报》给出了3个防“黑”小建议：1）进行设备审核，在Facebook的“安全和登录”页面上，有个“你登录的位置”标签，可以查看登录你账户的设备列表及其位置。如果您看到一个不熟悉的设备在奇怪的位置登录了你的账号，你可以点击“删除”按钮把它从你的账户中踢出去。2）更改密码，虽然Facebook表示已经修复了漏洞，无需更改账户密码，但为了安全起见，你还是应该改个密码，尤其是如果你原来的密码安全性较弱，或是之前出现过在可疑设备上登录的情况。3）打开双重身份验证，Facebook提供了双重身份验证的安全功能，用户必须使用短信验证码和账号密码才能成功登录，这样一来，即使有人得到了你的密码，没有验证码也很难登录。不过短信验证也同样存在安全漏洞，更好的方法还是通过加密邮件下发验证码。

网络数据已经成为价值巨大的“矿产”，保护用户数据安全并通过大数据提供更完善的服务可以帮助企业获取更广阔的发展空间，而用户数据一旦出现安全问题，则可能给企业造成毁灭性的打击。保护好数据“矿产”、设置安全边界、做好一切安全防护，是企业发展的重要一步。