上週曝光後,至少有5000 萬個身份驗證令牌,Facebook終於宣布了好消息:使用Facebook登入身分驗證服務的第三方應用程式不會受到此事件的影響。「我們現在已經分析了上週發現的攻擊期間安裝或連接的所有第三方應用程式的日誌。到目前為止,調查尚未發現任何證據表明攻擊者透過 Facebook Login 存取了應用程式。Facebook 產品總監 Guy Rosen 在一份報告中解釋道部落格文章。
身份驗證令牌,真正的主密鑰
在網路世界中,身份驗證令牌是用戶連接到服務時產生的一串字元。它通常儲存在 cookie 中,允許使用者瀏覽為其保留的動態頁面,而無需每次輸入密碼。一旦用戶到達新頁面,它就會在顯示內容之前先檢查是否存在此類令牌。
就 Facebook 而言,許多第三方服務也使用身分驗證令牌,為了方便起見,這些第三方服務使用 Facebook 登入服務登入自己的使用者。因此,已經透過瀏覽器連接到 Facebook 的用戶可以直接訪問此類服務的網站,而無需再次輸入密碼。在智慧型手機上,也是一樣的。 Tinder 等應用程式將使用 Facebook 應用程式令牌來驗證使用者身分。
風險並未完全消除
駭客收集的代幣可以毫無困難地用於欺詐性地存取這些第三方帳戶。例如,駭客可以在 Tinder 上閱讀訊息、在 Uber 上分析行程、在 Strava 上觀察跑步比賽等。考慮到被盜代幣的數量,沒有第三方應用程式沒有受到這次駭客攻擊的影響,這幾乎是一個奇蹟。
此外,Facebook 撤銷了所有被盜代幣的事實並不意味著第三方應用程式現在完全擺脫了困境。這完全取決於他們如何實現 Facebook 登入。一些第三方應用程式不檢查令牌的有效性,因此即使在今天,也可能成為令牌被盜的受害者。這種缺乏存取控制的情況顯然相當普遍,因為 Facebook 計劃很快發布一款工具,允許第三方應用程式開發人員識別並手動斷開受影響的用戶。你永遠都不能太小心。
