facebook的另一个漏洞可能暴露了用户及其朋友的信息

安全公司Imperva发布了Facebook漏洞的新细节，该漏洞可能暴露了用户数据。该漏洞允许网站通过未经授权访问公司API获取Facebook用户及其朋友的私人信息，从而在Chrome浏览器中玩弄特定行为。该漏洞已向Facebook披露，并于5月解决。...

安全公司Imperva发布了Facebook漏洞的新细节，该漏洞可能暴露了用户数据。该漏洞允许网站通过未经授权访问公司API获取Facebook用户及其朋友的私人信息，从而在Chrome浏览器中玩弄特定行为。该漏洞已向Facebook披露，并于5月解决。

从技术上讲，这次攻击是一次跨站点请求伪造，以未经授权的方式使用合法的Facebook登录。为了使攻击生效，Facebook用户必须使用Chrome访问恶意网站，然后在登录Facebook时单击网站上的任何位置。从那里，攻击者可以打开Facebook搜索页面的新弹出窗口或选项卡，并运行任意数量的查询来提取个人信息。

Imperva提供的一些示例包括检查用户是否在某个位置或国家拍照，用户是否最近写了任何包含特定文本的帖子，或者检查用户的朋友是否喜欢公司的Facebook页面。本质上，该漏洞暴露了用户及其朋友的兴趣，即使隐私设置设置为仅对用户的朋友可见。

Imperva说，这个漏洞不是一种常见的技术，Facebook已经解决了这个问题。然而，它确实提到，这些更复杂的社会工程攻击可能在2019年变得更为常见。

Facebook强调，潜在的漏洞也可能影响其他网站。”“我们感谢这位研究人员对我们的臭虫赏金计划的报告，”一位代表告诉Verge我们已经在搜索页面中修复了这个问题，没有发现任何滥用。由于潜在行为并非Facebook特有，我们已向浏览器**商和相关网络标准团体提出建议，鼓励他们采取措施，防止此类问题在其他网络应用程序中发生。”

这远非Facebook第一次面临用户数据的安全问题。最值得注意的是今年早些时候的剑桥Analytica丑闻，数百万用户的信息被数据挖掘公司滥用。最近还发生了一次网络攻击，来自数百万Facebook账户的信息被访问，包括用户当前所在城市和最近15次搜索。三月份，马克·扎克伯格在接受美国有线电视新闻网（CNN）关于《剑桥分析》的采访时说，“这是对信任的重大破坏，我真的很抱歉发生了这种情况。我们现在的责任是确保这种情况不再发生。”