臉書 ( Facebook)爆發史上最大的漏洞,導致千萬使用者隱私又遭到巨大的威脅。專家指出,這次臉書所出現的系統危機有3大漏洞,更改密碼、或改為雙認證,無法真正保護自身隱私安全,只有做好隱私自我管理,才是根本的自保之道。

我是廣告 請繼續往下閱讀
KPMG安侯建業數位科技安全團隊邱述琛協理表示,這次的漏洞其實並不是單一漏洞所導致,而是一次組合了「兩多一不夠」3大漏洞。首先是非必要功能的過「多」設計,提供臉書用戶以臉友角度檢視自我檔案的檢視(View As)功能,原本僅需檢視功能,卻保留了臉友上傳影像的非必要功能,提供了本次遭受攻擊的機會。

二是非必要權限的過「多」賦予,2017年7月在更新影片上傳程式碼時,錯誤的在手機APP產生非必要的登入存取令牌(access tokens)。

三則是「不夠」嚴謹的程式開發邏輯,提供臉書用戶使用的檢視(View As)功能中,多餘的臉友上傳影像功能,其登入存取令牌(access tokens)竟然是提供給用戶的查找對象。

邱述琛認為,在這一連串的不小心之下,導致駭客在網頁上得以利用這些登入存取令牌(access tokens)登入他人的臉書帳號,根據臉書統計,受到影響的用戶約有5000萬名,約占臉書帳戶的5%。

KPMG安侯建業數位科技安全團隊負責人謝昀澤執行副總認為,根據目前所蒐集的內外部情資與問題根因分析,這次臉書所出現的系統危機,使用者更改密碼、或改為雙認證,無法真正保護自身隱私安全,只有做好隱私自我管理。

例如避免將有可能造成個人隱私侵害的圖片、文字與連結資訊放在臉書上,並且少用臉書帳號進行其他系統驗證,必要時斷開臉書與其他APP或系統的帳號連接,其他系統也不要與臉書使用同一組帳密,才是根本的自保之道。

不僅如此,謝昀澤也提到,對我國的物聯網、互聯網企業而言,從此案例可以充分了解,軟體弱點的複雜性與管理困難度,像臉書這種以軟體提供社群服務的國際級公司,也會出現如此重大的漏洞。

謝昀澤表示,近年國內積極推動「安全系統發展生命週期(SSDLC)」管理,就是要因應此類的問題。長久以來,程式設計師多以功能需求為導向,對於安全設計多以傳輸加密、儲存加密及敏感資訊遮蔽等較為簡易的需求為主,像應用程式權限管控、驗證等進階安全控制,則較未獲重視。

此外,像大型系統多由團隊共同開發,其功能介面的關係將影響系統整體安全,若未能嚴加管控,就非常可能產生漏洞或是類似問題。

謝昀澤特別提醒,在近期英國航空與臉書等兩件涉及大量用戶隱私外洩的案例中發現,英國航空與臉書都在GDPR規範的72小時之內通報主管機關,並以個別或公告的方式通知用戶。雖然國內個資法對於事故通報的期限並未明確要求,但參考國際發展趨勢,建議國內業者未雨綢繆,應事先研議涉及用戶隱私外洩的通報程序與方式。