臉書 （ Facebook）在國內時間9月28日晚間爆發史上最大的漏洞，導致千萬使用者隱私又遭到巨大的威脅，媒體紛紛報導，要使用者立即修改密碼，並開啟臉書雙重認證模式。KPMG安侯建業數位科技安全團隊負責人謝昀澤執行副總表示：「根據目前所蒐集的本次事故所蒐集的內外部情資與問題根因分析，針對本次臉書所出現的系統危機，使用者更改密碼、或改為雙認證，無法真正保護自身隱私安全」。謝昀澤補充：「臉書使用者只有做好隱私自我管理，例如避免將有可能造成個人隱私侵害的圖片、文字與連結資訊放在臉書上，並且少用臉書帳號進行其他系統驗證，必要時斷開臉書與其他APP或系統的帳號連接，其他系統也不要與臉書使用同一組帳密，才是根本的自保之道」。

 

KPMG安侯建業數位科技安全團隊邱述琛協理解釋，這次的漏洞其實並不是單一漏洞所導致，而是一次組合了「兩多一不夠」三大漏洞：

1. 非必要功能的過「多」設計：提供臉書用戶以臉友角度檢視自我檔案的檢視（View As）功能，原本僅需檢視功能，卻保留了臉友上傳影像的非必要功能，提供了本次遭受攻擊的機會。
2. 非必要權限的過「多」賦予：2017年7月在更新影片上傳程式碼時，錯誤的在手機APP產生非必要的登入存取令牌（access tokens）。
3. 「不夠」嚴謹的程式開發邏輯：提供臉書用戶使用的檢視（View As）功能中，多餘的臉友上傳影像功能，其登入存取令牌（access tokens）竟然是提供給用戶的查找對象

 

邱述琛認為，在這一連串的不小心之下，導致駭客在網頁上得以利用這些登入存取令牌（access tokens）登入他人的臉書帳號，根據臉書統計，受到影響的用戶約友5,000萬名，約占臉書帳戶的5%。

謝昀澤表示，對我國的物聯網/互聯網企業而言，從此案例可以充分了解，軟體弱點的複雜性與管理困難度。像臉書這種以軟體提供社群服務的國際級公司，也會出現如此重大的漏洞。近年國內積極推動「安全系統發展生命週期（SSDLC）」管理，就是要因應此類的問題。長久以來，程式設計師多以功能需求為導向，對於安全設計多以傳輸加密、儲存加密及敏感資訊遮蔽等較為簡易的需求為主，像應用程式權限管控、驗證等進階安全控制，則較未獲重視。此外，像大型系統多由團隊共同開發，其功能介面的關係將影響系統整體安全，若未能嚴加管控，就非常可能產生漏洞或是類似問題。

 

謝昀澤也特別提醒，在近期英國航空與臉書等兩件涉及大量用戶隱私外洩的案例中發現，英國航空與臉書都在GDPR規範的72小時之內通報主管機關，並以個別或公告的方式通知用戶。雖然國內個資法對於事故通報的期限並未明確要求，但參考國際發展趨勢，建議國內業者未雨綢繆，應事先研議涉及用戶隱私外洩的通報程序與方式。