close
臉書(Facebook)日前發生史上最大規模漏洞攻擊,影響約5,000萬用戶。專家提醒,更改密碼無法確保隱私安全,最佳自保之道,是將臉書與其他APP「斷開鎖鏈」,並少用臉書帳號進行其他系統驗證。
臉書在國內時間9月28日晚間爆發史上最大漏洞,導致千萬使用者隱私遭到巨大威脅,媒體紛紛報導,要使用者立即修改密碼,並開啟臉書雙重認證模式。
不過,KPMG安侯建業數位科技安全團隊負責人謝昀澤表示,僅更改密碼或改為雙認證,無法真正保護自身隱私安全。
謝昀澤建議,臉書使用者應做好隱私自我管理,例如避免將有可能造成個人隱私侵害的圖片、文字與連結資訊放在臉書上,並少用臉書帳號進行其他系統驗證,必要時斷開臉書與其他APP或系統的帳號連接,其他系統也不要與臉書使用同一組帳密,才是根本的自保之道。
KPMG安侯建業數位科技安全團隊協理邱述琛進一步表示,此次漏洞問題出在「兩多一不夠」。
首先是非必要功能的過「多」設計,提供臉書用戶以臉友角度檢視自我檔案的檢視(View As)功能,原本僅需檢視,卻保留了臉友上傳影像的非必要功能,提供了本次遭受攻擊的機會。
其次則是賦予過「多」非必要權限,2017年7月臉書在更新影片上傳程式碼時發生失誤,在手機APP產生非必要的登入存取令牌(access tokens)。
最後則是「不夠」嚴謹的程式開發邏輯,提供臉書用戶使用的檢視功能中,多餘的臉友上傳影像功能,其登入存取令牌竟是提供給用戶的查找對象。
邱述琛認為,在一連串不小心之下,導致駭客在網頁上得以利用這些登入存取令牌登入他人的臉書帳號,根據臉書統計,受到影響的用戶約有5,000萬名,占臉書帳戶5%。
謝昀澤表示,大型系統多由團隊共同開發,其功能介面的關係將影響系統整體安全,若未能嚴加管控,就非常可能產生漏洞或是類似問題。
謝昀澤也特別提醒,在近青年創業及啟動金貸款利率期英國航空與臉書等兩件涉及大量用戶隱私外洩的案例中發現,英國航空與臉書都在GDPR規範的72小時內通報主管機關,並以個別或公告的方式通知用戶。
謝昀澤表示,雖然國內個資法對於事故通報的期限並未明確要求,但參考國際發展趨勢,建議國內業者未雨綢繆,應事先研議涉及用戶隱私外洩的通報程序與方式。
FED1DD0807DD02FB
文章標籤
全站熱搜
留言列表
