上周五,Facebook上的一次大规模入侵开辟了一条新战线。据该公司称,超过5000万个帐户被一种登录蠕虫所接管,该蠕虫利用一系列未发布的漏洞以前所未有的规模劫持会话密钥。黑客可以完全访问任何目标账户——基本上,他们可以在你登录时做任何你能做的事情——Facebook仍在调查损失的全部程度。...
上周五,Facebook上的一次大规模入侵开辟了一条新战线。据该公司称,超过5000万个帐户被一种登录蠕虫所接管,该蠕虫利用一系列未发布的漏洞以前所未有的规模劫持会话密钥。黑客可以完全访问任何目标账户——基本上,他们可以在你登录时做任何你能做的事情——Facebook仍在调查损失的全部程度。
违约响应总是混乱的,但这一响应尤其随意,因为欧盟的通用数据保护条例(GDPR)制定了一套新的规则。GDPR于5月实施,对任何涉及欧盟公民的违规行为都提出了严格要求,这些要求已经指导Facebook应对会话密钥攻击。根据Facebook的时间表,周五的披露时间刚好在向隐私专员披露新闻的72小时窗口之前,这是一个比公司通常采用的期限要紧得多的最后期限。
根据要求,Facebook还向各个隐私专员发送了更多正式通知,这些专员可能会决定就违规行为提起诉讼。就在上周日,爱尔兰数据隐私专员表示,“正在等待Facebook提供有关安全漏洞的进一步紧急细节”。尽管考虑到攻击范围广泛且不分青红皂白,但英国专员仍在确定该国公民是否牵涉其中,很可能至少有几个是这样。”该专员在一份声明中说:“公司始终有责任确定英国公民何时因数据泄露而受到影响,并采取措施减少对消费者的任何伤害。”我们将与Facebook和我们的海外同行进行调查,以确定违规的规模以及是否有任何英国公民受到影响。”Facebook已经在加利福尼亚面临集体诉讼,并面临FTC的一些严厉问题,但预计大部分压力将来自欧洲。
以前有过无数的违规行为——Facebook甚至处理过像这样的特定登录错误——但GDPR改变了一切。如果该公司被发现违反了规定,它可能要承担高达4%的年收入,高达40亿美元。还没有人指责Facebook****,但案件的基本事实还没有确定下来——立法者已经对Facebook怀有敌意,很多隐私专员都想试试运气。因为这项法律是如此的新鲜,没有人确切知道这样一个案件会如何发展,但Facebook已经在为这场可能是它生命中的战斗做准备。
新的违规行为与之前的GDPR斗争形成了鲜明对比,后者在很大程度上与政策决策和服务条款有关。Facebook和谷歌都因其服务条款违反规定而受到指责,尽管诉讼是由第三方提起的,没有取得多大进展。像剑桥分析公司(Cambridge Analytica)这样的丑闻为这场斗争提供了另一条战线,在这场斗争中,明显侵犯用户隐私的行为源于用户的选择,回避了大多数违法行为的法律定义。但最近的突破要简单得多。Facebook不应该让这些黑客访问这些账户——这不是一个数据共享项目,也不是一个出错的API——因此很难将其后果解读为Facebook安全性的崩溃。唯一的问题是Facebook将因这一失误受到多少惩罚。
根据GDPR,责任问题在很大程度上取决于该公司是否疏忽大意,忽略了本可以防止违约的基本做法。我们对此次攻击的了解还不足以判断Facebook在这一点上的反应,但在公众面前发生的事情足以让一些批评者满意。”据我们所知,Facebook迄今为止做得不错,包括重新设置代币,”Digi.me的创始人Shane Green说,Digi.me是一个专注于数据隐私的替代平台对这件事的取证并不容易,而且要在最坏的情况下向人们发出警告,同时又不把他们吓死或引起过度反应,这是一个微妙的平衡。”
尽管如此,随着更多细节的披露,GDPR诉讼的可能性不容忽视。到目前为止,Facebook强调了该漏洞的复杂性——在模糊的“视为”功能中有三个部分的漏洞——但正是Facebook自己的产品代码造成了这些漏洞,并让它们在一年多的时间里未修补。也有一些传言称,攻击可能在违规前向Facebook报告,Facebook发布公告前一天,公众对马克·扎克伯格的账户进行了猛烈的威胁,这些传言变得可信。这些传闻都没有得到证实,但对该公司来说,它们代表着一种可怕的可能性。如果这些漏洞中的任何一个在入侵之前被报告给Facebook,那么未能及时修补可能成为法庭上强有力的证据。
这起案件尤其复杂,因为黑客行为的范围超出了Facebook本身。一旦一个给定的帐户被破坏,攻击者还可以访问依赖Facebook进行身份验证的任何第三方帐户。这是网络上的一种常见做法——如果你曾经点击“通过Facebook登录”而不是设置新密码,那么你就是其中的一员——但在这种情况下,这是一种危险的做法。Facebook已经撤销了受损的登录令牌,但它本身无法解决整个问题。那些外部平台也需要刷新它们的系统,很可能会有一些人认识到危险的晚了。如果这条攻击线造成进一步的破坏和进一步的损害,那么很难说责任会落在Facebook还是第三方服务上。
对于Facebook来说,这类悬而未决的问题是这场法律纠纷中最可怕的部分。以前从来没有人提起过这些诉讼,我们对GDPR案件的强弱只有模糊的认识。该公司可能会陷入数年的法律战和10亿美元的赔付,也可能会逍遥法外。我们刚刚进入GDPR体制几个月,对于如何使用它,根本没有路线图。从政治上讲,Facebook是一个完美的目标——一家越来越不受欢迎的美国科技公司,在左翼和右翼都有重要的对手。由于法律仍在制定中,案件的细节不如压倒性的政治逻辑重要。像这样的情况从来都不容易,但Facebook选择了一个特别糟糕的时刻来突破。
