不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

  • A+
所属分类:社交产品
摘要

小早说:有漏洞不丢人,及时修复没出问题就好

最近几天,Facebook 又㕛叒因为网络安全问题上了头条:5000万账户受影响,股票也顺势来了一个小跳水。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

记得几个月前扎克伯格就因为网站信息泄露影响美国总统选举的事,坐上庭审席,一脸苦逼。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

当时迫于美国、欧盟等各数据安全机构的压力,Facebook 的首席安全官被曝离职,扎克伯格也不得不在报纸上刊登道歉信「我们担负着保护你们数据的责任,如果我们办不到这一点,便失去了服务于你们的资格。」

没想到啊没想到,几个月不到又出了事。

估计再这么下去,首席安全官都能搞轮班制了,半年换一次,扫码付工资。

不过,对于这次事件,我不知为何就想给 Facebook 点个赞。

有浅友可能要说了,「这么大的科技公司出现这么重大的安全事故,泄露了用户信息你不骂他还要点赞,这不是跪舔洗地么?!」

靓坤同学曾说过 “做错事要认,挨打要立正” 。公司出了安全问题,这个锅该谁背,肯定跑不了,但其实我想点赞的是另一件事。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

一开始,我以为这件事是某个安全团队或者研究员发现漏洞后曝到媒体。可后来我发现,这件事居然是 Facebook 自己曝光出来的……

是的,这件事开始是从 Facebook 的官方博客里曝出来的。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

我去截了一张图,红字部分是译文

 

一般来说,吃瓜群众看到新闻里曝出 《XX被曝漏洞,XXX万账户受影响》,第一反应多半是 “卧槽,又被拖库了?密码泄露?又得改密码啦?”

但这次,这件事跟账号密码泄露没啥关系。

事情是这样的:

首先,你得知道网络世界有个叫 token(令牌) 的东西。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

如果访问一个网站比如微博、知乎,每次打开都要重新输入账号密码,显然太麻烦。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

于是,程序员们想了个办法,当你第一次输入完账号密码登录后,网站发给你的浏览器一个 token ,之后在一定时间范围内再次打开该网站,浏览器就会自动拿着 token 去登录。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

这就好比你去了一家公司上班,公司会给你发一个员工证,你在任职期间都能拿着这张卡片出入。

但是这个功能给 Facebook 埋下了隐患。

Facebook 又有一个名叫 “View as” 的功能,翻译过来就是 “你的谁谁(朋友、亲人)来看你了”,这个功能允许你的亲朋好友看你的主页。

这好比相当于你的亲戚朋友来你公司看望你,公司给他们每人发一张访客卡。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

但是,Facebook 做这个项目的技术小哥在某个特殊情况下(访客状态下上传视频),让服务器把“员工证”发给了访客。

于是,访客拿到本不属于他的用户token,可以获得用户权限。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

 

上面这一段描述,都是我从 Facebook 的官方博文里看到的。

 

那篇文章讲解了前因后果,并一五一十地罗列了紧急处理方法,包括:

 

  • 通知执法部门和数据保护相关机构(罚款、整顿、求鞭笞、求滴蜡);
  • 紧急登出几千万用户,让他们重新输入密码验证;
  • 修复漏洞并关闭了相关功能,准备重新全面安全审查
  • 道歉,并公布了更多技术细节。

最后还附上了一段他们产品副总裁的视频,解释了前因后果。不说诚恳,至少中肯。

 

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

 

这种主动告知公众安全漏洞情况,真的不多见。

印象中,也就 2015年一个叫“草榴社区”的网站这么干过,不过我的记性不太好,如果大家还知道别的,可以在留言区说下。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

我居然还留着当时的图片,当时真是对这个叫大红鹰的站长刮目相看了

目之所及,国内公司遇到数据泄露或者大漏洞,大体可分成三类:

第一类居多,通常等媒体曝光后再跑出来道歉解释发公告,有问题处理问题;

第二类厉害些,媒体刚一发稿曝光,没过两分钟就打电话急匆匆要求删稿,能藏就藏,藏不住再说。这类公司舆情系统做的比信息安全更牛;

第三类最厉害,火速修复漏洞,然后无论如何都一口咬定没问题。除非有人拿出泄露的数据作证。卧槽这谁敢作证,不是菊花痒等着被抓么……

我瞎说的,大家不要对号入座。

其实在国外,公开自家已修补的漏洞也还算常事,比如谷歌 、微软这样的大公司就带了个好头,他们会定期公布自家修补的漏洞。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

图片截取自网络

 

再比如特斯拉就搞了个安全名人堂,每年把发现特斯拉汽车漏洞最多最屌的团队挂上去,里头中国的安全团队的名字倒是不少。

有漏洞丢人吗?的确有一那么一丢丢丢,但也可以理解,因为谁都不能保证没有漏洞。

可瞒着漏洞就已经不是丢人了,是可耻。这跟那些给小朋友吃过期食品的幼儿园有啥区别?跟那些在疫苗里惨假的企业有啥区别?

可能有人觉得泄露点数据也没什么,话说掺假的幼儿园和疫苗厂商一开始或许也觉得掺一点没太大关系,死不了人。可就因为这些泄露的数据,造就徐玉玉那样的惨案。

如今黑产、电信诈骗依然猖獗,在我们看不到的地方还有多少人受害?不知道,也没多少人care,大家都觉得不会发生在自家人头上。

这两年,国内企业对安全漏洞的态度好了一些,越来越多公司成立了SRC(应急响应中心),专门对接提交自家漏洞的白帽子。有时还会给报告自家安全漏洞的团队发表公开致谢。

甚至,几个大公司之间开始时不时切磋挖漏洞技艺,今天你曝光我一个漏洞,我给你发个致谢,过俩月你再报告我一个漏洞,我给你发个致谢,大家笑着流泪,敬个礼握握手,你是我滴好朋友。

2018年1月9日腾讯玄武实验室发现一个手机APP重大漏洞,可以影响市面上几十款APP,他们开了个发布会现场讲解演示,呼吁关注移动安全。

不过不巧的是,他们没有“避嫌”,用了阿里系的支付宝作漏洞演示。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

一个月后,腾讯系的微信紧急修复了一个漏洞,反馈问题的是阿里安全团队:

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

微信团队致谢阿里安全团队

 

这类事其实还有不少。

2018年6月8日,腾讯SRC公开致谢360阿尔法团队:

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

没过几天,腾讯科恩实验室的技术大佬们出手了,于是:

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

两个致谢仅隔了一周

 

看到这里,浅友们可能又要问了:

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

幺哥觉得,太™有了!

因为漏洞就在那里,每修复一个漏洞,我们的网络世界就安全了一分,修复10086个漏洞,互联网就安全了一百分。

可以看出,氛围确实在慢慢好转,但目前顶多顶多也就是这样,曝光一下别人家的漏洞,相互切磋一下,极少极少极少有自己主动承认漏洞的,Facebook 在这件事上,是个老实人。

其实做网络安全的都知道,也都在跟别人说,“有漏洞不丢人,及时修复没出问题就好”。可大多数人就是一边试图说服别人要勇敢承认漏洞,有漏洞并不丢人,一边又对自己以及合作伙伴的安全问题避讳不谈,讳莫如深。

或碍于大佬朋友之间的情面,或碍于部门之间的权责,或碍于逼格,或碍于权利,总之碍于各种。

试想一下,如果 Facebook 这件事发生在别的甲公司、乙公司,会怎样?

大家都在说提倡要共同维护行业环境、互联网环境,维护世界和平,这就好比大家都说要保护环境从我做起,可很多人当真乱扔垃圾时,又会说“凭啥别人都扔,我不能扔”。

大家嘴上说着“要”,身体却很诚实。

今天我活捉一个老实人,给大家说道说道,大家不要孤立他。大家都在一个世界里生活,若想让这个世界变得更好,就得先让自己变好,对吧~

最后顺祝大家国庆假期愉快,年年有今日岁岁有今朝。

不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

(找资料时看到一张图片还挺应景,不知道各位要去哪里玩耍呀~)

如果觉得文章对你有所帮助,欢迎留言并且推荐给你的好友。

如果觉得文章对你有所帮助,欢迎留言并且推荐给你的好友。

本文授权互联网早读课转载。内容仅代表作者独立观点,不代表早读课立场。如需转载,请联系原作者。

 
       作者:谢幺谢幺。作者授权早读课发表,转载请联系作者。
       编辑:早读堂-妮子小菇凉
       欢迎投稿到早读课,投稿邮箱:mm@zaodula.com
不知为何,我想为泄露5000万账户信息的 Fackbook 点个赞-20181001早读课

如果看到这段文字,证明您已经看完这篇文章了,有什么收获有什么感想有什么不赞同,我们期待您的留言评论,并诚挚邀请您加入“互联网早读课”QQ群,一同交流每天文章的心得并结识同行。官方11群:477502397,加群密码“城市+职业+姓名”,否则不予通过,入群后请修改群名片。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: