Facebook将违规用户数量从5000万降至3000万

Facebook今天表示，上个月发生的一次安全漏洞导致Facebook认证令牌被盗的用户数量实际上是3000万，而不是最初宣布的5000万。

Facebook称，攻击者盗取了这300万个账户的认证令牌，但他们也窃取了2900万的额外数据。

该社交网络表示，正在与联邦调查局合作，确定袭击者身份，不能透露更多有关袭击来源的信息。

但Facebook产品管理副总裁盖伊·罗森(GuyRosen)今天在电话会议上回答问题时表示，Facebook没有发现有人试图使用任何被盗的代金券。

Rosen说，即使攻击者试图使用这些令牌，他们也不会成功，原因是Facebook在9月28日宣布所有被盗的代币无效。

罗森还表示，facebook没有发现任何证据表明这些令牌与facebook登录功能一起使用，这样攻击者就可以通过facebook令牌登录第三方应用程序。

这位Facebook高管还详细介绍了此次袭击的进展情况。他说，攻击者最初使用他们可能创建的直接控制下的帐户来利用“View as”功能中的漏洞，并为这些原始帐户的朋友窃取令牌。然后，他们一次又一次地使用相同的漏洞，直到他们为大约40万个帐户收集令牌，Rosen称之为“种子帐户”。

罗森说，一旦他们拥有了种子账户的令牌，攻击者就会使用这些令牌访问40万个账户，并部署脚本，在更大范围内自动获取更多的令牌。

这一行动引发了大规模的流量激增，Facebook工程师在9月16日检测到了这一事件。在对流量来源的调查得出结论称，这是9月26日的一次协同攻击之后，9月27日，“观点”漏洞得到修补，并于9月28日公开了这一漏洞。

Rosen在一篇博客文章中补充道：“在未来几天内，我们将向受影响的3000万人发送自定义消息，以解释攻击者可能访问了哪些信息，以及他们可以采取哪些步骤来保护自己，包括避免可疑电子邮件、短信或呼叫。”

这些消息的模型如下所示。在此之前，Facebook还推出了一个帮助中心页面，每个人都可以去看看他们是否是3，000万不幸用户中的一员。