從臉書史上最大漏洞所學到的教訓 | KPMG | TW
close
Share with your friends

從臉書史上最大漏洞所學到的教訓

從臉書史上最大漏洞所學到的教訓

臉書 ( Facebook)在國內時間9月28日晚間爆發史上最大的漏洞,導致千萬使用者隱私又遭到巨大的威脅,媒體紛紛報導,要使用者立即修改密碼,並開啟臉書雙重認證模式。

1000

KPMG安侯企管 副總經理

KPMG in Taiwan

與我聯繫

相關內容

kpmg-fb

臉書 ( Facebook)在國內時間9月28日晚間爆發史上最大的漏洞,導致千萬使用者隱私又遭到巨大的威脅,媒體紛紛報導,要使用者立即修改密碼,並開啟臉書雙重認證模式。KPMG安侯建業數位科技安全團隊負責人謝昀澤執行副總表示:「根據目前所蒐集的本次事故所蒐集的內外部情資與問題根因分析,針對本次臉書所出現的系統危機,使用者更改密碼、或改為雙認證,無法真正保護自身隱私安全」。謝昀澤補充:「臉書使用者只有做好隱私自我管理,例如避免將有可能造成個人隱私侵害的圖片、文字與連結資訊放在臉書上,並且少用臉書帳號進行其他系統驗證,必要時斷開臉書與其他APP或系統的帳號連接,其他系統也不要與臉書使用同一組帳密,才是根本的自保之道」。

 

KPMG安侯建業數位科技安全團隊邱述琛協理解釋,這次的漏洞其實並不是單一漏洞所導致,而是一次組合了「兩多一不夠」三大漏洞:

  1. 非必要功能的過「多」設計:提供臉書用戶以臉友角度檢視自我檔案的檢視(View As)功能,原本僅需檢視功能,卻保留了臉友上傳影像的非必要功能,提供了本次遭受攻擊的機會。
  2. 非必要權限的過「多」賦予:2017年7月在更新影片上傳程式碼時,錯誤的在手機APP產生非必要的登入存取令牌(access tokens)。
  3. 「不夠」嚴謹的程式開發邏輯:提供臉書用戶使用的檢視(View As)功能中,多餘的臉友上傳影像功能,其登入存取令牌(access tokens)竟然是提供給用戶的查找對象

 

邱述琛認為,在這一連串的不小心之下,導致駭客在網頁上得以利用這些登入存取令牌(access tokens)登入他人的臉書帳號,根據臉書統計,受到影響的用戶約友5,000萬名,約占臉書帳戶的5%。

物聯網/互聯網企業應該學會的事

謝昀澤表示,對我國的物聯網/互聯網企業而言,從此案例可以充分了解,軟體弱點的複雜性與管理困難度。像臉書這種以軟體提供社群服務的國際級公司,也會出現如此重大的漏洞。近年國內積極推動「安全系統發展生命週期(SSDLC)」管理,就是要因應此類的問題。長久以來,程式設計師多以功能需求為導向,對於安全設計多以傳輸加密、儲存加密及敏感資訊遮蔽等較為簡易的需求為主,像應用程式權限管控、驗證等進階安全控制,則較未獲重視。此外,像大型系統多由團隊共同開發,其功能介面的關係將影響系統整體安全,若未能嚴加管控,就非常可能產生漏洞或是類似問題。

 

謝昀澤也特別提醒,在近期英國航空與臉書等兩件涉及大量用戶隱私外洩的案例中發現,英國航空與臉書都在GDPR規範的72小時之內通報主管機關,並以個別或公告的方式通知用戶。雖然國內個資法對於事故通報的期限並未明確要求,但參考國際發展趨勢,建議國內業者未雨綢繆,應事先研議涉及用戶隱私外洩的通報程序與方式。

上列組織及本文內任何文字不應被解讀或視為上列組織之間有任何母子公司關係,仲介關係,合夥關係,或合營關係。 上述成員機構皆無權限(無論係實際權限,表面權限,默示權限,或任何其他種類之權限)以任何形式約束或使得 KPMG International 或任何上述之成員機構負有任何法律義務。 關於此文內所有資訊皆屬一般通用之性質,且並無意影射任何特定個人或法人之情況。即使我們致力於即時提供精確之資訊,但不保證各位獲得此份資訊時內容準確無誤,亦不保證資訊能精準適用未來之情況。任何人皆不得在未獲得個案專業審視下所產出之專業建議前應用該資訊。

與我們聯繫

 

申請服務建議書

 

填寫申請表單