今天早上，Facebook披露了一个广泛存在的安全漏洞，该漏洞可能允许黑客或其他恶意第三方通过收集其安全令牌来访问受影响用户的帐户。该漏洞影响了多达5000万人，Facebook表示，为了安全起见，该漏洞迫使约9000万用户今天全部重新登录他们的帐户。该公司表示，这是因为除了受影响的账户外，自2017年7月该漏洞利用活动开始以来，还有约4000万人使用了该漏洞利用功能。

它还表示，它已经解决了这个问题，并提醒了执法部门，这表明这不是一个工程错误，而是某个第三方组织或黑客发现并使用的有目的的攻击。该公司表示，其工程团队于9月25日获悉了这一问题，但Facebook产品管理副总裁盖伊·罗森（Guy Rosen）表示，目前尚不清楚账户是否被泄露，问题何时被利用，或者谁可能是此次攻击的幕后策划者。

首席执行官马克·扎克伯格（Mark Zuckerberg）在其个人Facebook页面的一篇帖子中写道：“周二，我们发现一名攻击者利用一个技术漏洞窃取访问令牌，使他们能够登录Facebook上约5000万人的账户。”我们还不知道这些账户是否被滥用，但我们正在继续调查，并将在了解更多信息后更新。”

该漏洞可能会让人利用“查看方式”功能进行攻击，该功能允许您查看自己的个人资料，就像它在其他用户或公众面前一样，以此评估您的特定共享设置。然而，当有人选择某个个人资料作为目标视图时，该功能似乎无意中暴露了Facebook安全令牌。这样可以让某人访问此人的帐户。Facebook访问令牌是一种数字密钥，移动用户无需重新键入密码即可登录其帐户。

该公司上周五晚些时候表示，攻击者完全可以访问用户的帐户，可以使用通过Facebook登录的任何第三方应用程序。

除了让9000万用户今天重新登录外，Facebook表示，它还将“在进行彻底的安全审查时”禁用View As功能。该公司对该漏洞的工作原理进行了一些技术分析，但这里仍然没有很多具体细节：

This attack exploited the complex interaction of multiple issues in our code. It stemmed from a change we made to our video uploading feature in July 2017, which impacted “View As.” The attackers not only needed to find this vulnerability and use it to get an access token, they then had to pivot from that account to others to steal more tokens.

Facebook在发布该公告后与记者通话时表示，去年7月的“视频上传功能”与一个工具有关，该工具允许用户上传生日视频，并允许View As功能公开安全信息，但仅在与其他两个bug交互时使用。该公司还确认，没有披露任何信用卡信息。

就在几小时前，一位名叫张继元的台湾著名黑客承诺在周日删除扎克伯格的个人页面，以此证明Facebook存在某种安全漏洞，张继元作为黑客的熟练程度，或者两者兼而有之。目前尚不清楚影响Facebook视为功能的问题是否是张打算利用的问题，但当时有人怀疑他们可能有关联。

Facebook在今天与记者的通话中表示，被视为剥削的观点与张的特技无关，据报道，张计划在Facebook Live上直播。当天晚些时候，张放弃了他的承诺，在他的个人页面上写道：“他向Facebook报告了这个漏洞，当我得到赏金时，我会拿出证据。”

Facebook更迫切的担忧是，在前CSO亚历克斯·斯塔莫斯（Alex Stamos）上月离开公司后，首席安全官的缺席。Stamos离职后，Facebook表示，它将不再担任CSO的角色，而是重组其安全组织，并通过其多个部门派驻专家。Facebook发言人当时表示，该公司将“继续评估哪种结构最适合”以保护用户的安全。

在对该漏洞进行广泛的新闻报道后，Facebook用户开始报告该社交网络正在屏蔽来自***和卫报的有关黑客攻击的新闻链接，导致该公司更多愤世嫉俗的批评者认为该公司有意在自己的平台上压制关于自己的****。

脸谱网后来证实，这些故事被分享得如此频繁，以至于他们绊倒了公司内部的垃圾邮件检测工具。”该公司表示：“我们一发现这个问题就解决了，人们应该能够分享这两篇文章。”给您带来不便，我们深表歉意。”

更新时间：美国东部时间9月28日下午6:22。增加了Facebook关于阻止新闻链接的评论。

美国东部时间9月28日下午5:22更新：从与记者的第二次通话中添加信息。

美国东部时间9月28日下午1:35更新：添加了Facebook今天下午与记者通话的信息。

美国东部时间9月28日下午4:41更新：增加了Facebook内部垃圾邮件检测工具在快速传播的《卫报》和***链接上绊倒的信息，以及关于张志远放弃入侵扎克伯格网页承诺的更新。