公告:Facebook加赞平台--facebook涨播放量网站
最近几天,Facebook 又㕛叒因为网络安全问题上了头条:5000万账户受影响,股票也顺势来了一个小跳水。
记得几个月前扎克伯格就因为网站信息泄露影响美国总统选举的事,坐上庭审席,一脸苦逼。
当时迫于美国、欧盟等各数据安全机构的压力,Facebook 的首席安全官被曝离职,扎克伯格也不得不在报纸上刊登道歉信:我们担负着保护你们数据的责任,如果我们办不到这一点,便失去了服务于你们的资格。
没想到啊没想到,几个月不到又出了事。
估计再这么下去,首席安全官都能搞轮班制了,半年换一次,扫码付工资。
不过,对于这次事件,我不知为何就想给 Facebook 点个赞。
有浅友可能要说了,这么大的科技公司出现这么重大的安全事故,泄露了用户信息你不骂他还要点赞,这不是跪舔洗地么?!
靓坤同学曾说过 做错事要认,挨打要立正 。公司出了安全问题,这个锅该谁背,肯定跑不了,但其实我想点赞的是另一件事。
一开始,我以为这件事是某个安全团队或者研究员发现漏洞后曝到媒体。可后来我发现,这件事居然是 Facebook 自己曝光出来的……
是的,这件事开始是从 Facebook 的官方博客里曝出来的。
(我去截了一张图,红字部分是译文)
一般来说,吃瓜群众看到新闻里曝出《XX被曝漏洞,XXX万账户受影响》,第一反应多半是 卧槽,又被拖库了?密码泄露?又得改密码啦?
但这次,这件事跟账号密码泄露没啥关系。
事情是这样的:
首先,你得知道网络世界有个叫 token(令牌) 的东西。
如果访问一个网站比如微博、知乎,每次打开都要重新输入账号密码,显然太麻烦。
于是,程序员们想了个办法,当你第一次输入完账号密码登录后,网站发给你的浏览器一个 token ,之后在一定时间范围内再次打开该网站,浏览器就会自动拿着 token 去登录。
这就好比你去了一家公司上班,公司会给你发一个员工证,你在任职期间都能拿着这张卡片出入。
但是这个功能给 Facebook 埋下了隐患。
Facebook 又有一个名叫 View as 的功能,翻译过来就是 你的谁谁(朋友、亲人)来看你了,这个功能允许你的亲朋好友看你的主页。
这好比相当于你的亲戚朋友来你公司看望你,公司给他们每人发一张访客卡。
但是,Facebook 做这个项目的技术小哥在某个特殊情况下(访客状态下上传视频),让服务器把员工证发给了访客。
于是,访客拿到本不属于他的用户token,可以获得用户权限。
上面这一段描述,都是我从 Facebook 的官方博文里看到的。
那篇文章讲解了前因后果,并一五一十地罗列了紧急处理方法,包括:
通知执法部门和数据保护相关机构(罚款、整顿、求鞭笞、求滴蜡);
紧急登出几千万用户,让他们重新输入密码验证;
修复漏洞并关闭了相关功能,准备重新全面安全审查
道歉,并公布了更多技术细节。
最后还附上了一段他们产品副总裁的视频,解释了前因后果。不说诚恳,至少中肯。
这种主动告知公众安全漏洞情况,真的不多见。
印象中,也就 2015年一个叫草榴社区的网站这么干过,不过我的记性不太好,如果大家还知道别的,可以在留言区说下。
(我居然还留着当时的图片,当时真是对这个叫大红鹰的站长刮目相看了)
目之所及,国内公司遇到数据泄露或者大漏洞,大体可分成三类:
第一类居多,通常等媒体曝光后再跑出来道歉解释发公告,有问题处理问题;
第二类厉害些,媒体刚一发稿曝光,没过两分钟就打电话急匆匆要求删稿,能藏就藏,藏不住再说。这类公司舆情系统做的比信息安全更牛;
第三类最厉害,火速修复漏洞,然后无论如何都一口咬定没问题。除非有人拿出泄露的数据作证。卧槽这谁敢作证,不是菊花痒等着被抓么……
我瞎说的,大家不要对号入座。
其实在国外,公开自家已修补的漏洞也还算常事,比如谷歌 、微软这样的大公司就带了个好头,他们会定期公布自家修补的漏洞。
(图片截取自网络)
再比如特斯拉就搞了个安全名人堂,每年把发现特斯拉汽车漏洞最多最屌的团队挂上去,里头中国的安全团队的名字倒是不少。
有漏洞丢人吗?的确有一那么一丢丢丢,但也可以理解,因为谁都不能保证没有漏洞。
可瞒着漏洞就已经不是丢人了,是可耻。这跟那些给小朋友吃过期食品的幼儿园有啥区别?跟那些在疫苗里惨假的企业有啥区别?
可能有人觉得泄露点数据也没什么,话说掺假的幼儿园和疫苗厂商一开始或许也觉得掺一点没太大关系,死不了人。可就因为这些泄露的数据,造就徐玉玉那样的惨案。
如今黑产、电信诈骗依然猖獗,在我们看不到的地方还有多少人受害?不知道,也没多少人care,大家都觉得不会发生在自家人头上。
这两年,国内企业对安全漏洞的态度好了一些,越来越多公司成立了SRC(应急响应中心),专门对接提交自家漏洞的白帽子。有时还会给报告自家安全漏洞的团队发表公开致谢。
甚至,几个大公司之间开始时不时切磋挖漏洞技艺,今天你曝光我一个漏洞,我给你发个致谢,过俩月你再报告我一个漏洞,我给你发个致谢,大家笑着流泪,敬个礼握握手,你是我滴好朋友。
不过不巧的是,他们没有避嫌,用了阿里系的支付宝作漏洞演示。
这类事其实还有不少。
2018年6月8日,腾讯SRC公开致谢360阿尔法团队:
没过几天,腾讯科恩实验室的技术大佬们出手了,于是:
(两个致谢仅隔了一周)
看到这里,浅友们可能又要问了:
幺哥觉得,太™有了!
因为漏洞就在那里,每修复一个漏洞,我们的网络世界就安全了一分,修复10086个漏洞,互联网就安全了一百分。
可以看出,氛围确实在慢慢好转,但目前顶多顶多也就是这样,曝光一下别人家的漏洞,相互切磋一下,极少极少极少有自己主动承认漏洞的,Facebook 在这件事上,是个老实人。
其实做网络安全的都知道,也都在跟别人说,有漏洞不丢人,及时修复没出问题就好。可大多数人就是一边试图说服别人要勇敢承认漏洞,有漏洞并不丢人,一边又对自己以及合作伙伴的安全问题避讳不谈,讳莫如深。
或碍于大佬朋友之间的情面,或碍于部门之间的权责,或碍于逼格,或碍于权利,总之碍于各种。
试想一下,如果 Facebook 这件事发生在别的甲公司、乙公司,会怎样?
大家都在说提倡要共同维护行业环境、互联网环境,维护世界和平,这就好比大家都说要保护环境从我做起,可很多人当真乱扔垃圾时,又会说凭啥别人都扔,我不能扔。
大家嘴上说着要,身体却很诚实。
今天我活捉一个老实人,给大家说道说道,大家不要孤立他。大家都在一个世界里生活,若想让这个世界变得更好,就得先让自己变好,对吧~
最后顺祝大家国庆假期愉快,年年有今日岁岁有今朝~
(找资料时看到一张图片还挺应景,不知道各位要去哪里玩耍呀~)
----
发现科技的小秘密
