今年 5 月的时候，安全公司 Imperva 曝光了 Facebook 的一个 bug，其导致第三方网站可以读取毫无戒心的 Facebook 用户（及其好友）的私人信息。万幸的是，该漏洞现已被成功修复。此前，安全研究员 Ron Masas 发现了 Facebook 的跨站请求伪造（CSRF）漏洞，意味着另一个网站可以通过代码查询的方式，接触到 Facebook 的用户数据。 视频截图 为了利用该漏洞，站点可以嵌入 iFrame（站点内的站点）来“吸取”用户的数据： 当已登录的 Facebook 用户访问带有恶意代码的，并在任意位置点击时触发脚本。 其通过向该社交网络发送查询来收集用户数据，例如‘用户是否喜欢跑步？’、或‘是否有朋友在加拿大？’ 据悉，Masas 是在研究 Chrome 漏洞时发现的 Facebook bug，攻击者可借此窃取 Facebook 用户的私人信息。 可怕的是，即便设置了仅对自己可见，其好友的数据仍可能被这只黑爪给触及。比如通过更加复杂的查询，就可以找到有关某人的宗教信仰、或生活在特定区域的朋友圈等信息。 Facebook Proof of Concept（via） 对于此事，Facebook 发言人在致外媒 TechCrunch 的回复中写到： 感谢这位安全研究人员对我司 bug 赏金计划的支持，报告中的行为并非特定于 Facebook，但我们的用户数据没有丢失。 我们已经向浏览器制造商和相关 Web 标准组提出了建议，鼓励它们采取措施防止此类问题在其它 Web 应用上发生。 据悉，Facebook 向 Masas 发放了两份单独的赏金，总额为 8000 美元。   稿源：cnBeta，封面源自网络；

讯 北京时间11月1日凌晨消息，9月28日，在Facebook公布了一项影响数百万用户的安全漏洞的那一天，该公司创业企业业务负责人向顶级客户沃尔玛确保其数据尚未泄露。 沃尔玛是Facebook的Workplace的客户。而Workplace是Facebook社交网络的工作版本，公司付费以后，他们的员工可以使用Facebook风格的功能进行沟通，例如私人消息，新闻提要和实时流。根据Facebook在2017年10月分享的最多数据显示，该服务与Slack和其他企业通信服务竞争，被包括星巴克和雪佛龙在内的30,000家组织使用。 在9月28日的沟通中，Facebook的Workplace负责人Julien Codorniou向沃尔玛企业首席信息官Clay Johnson表示，Facebook正在采取措施进一步将Facebook的企业业务与其消费者服务分开。根据沃尔玛副总裁乔·帕克(Joe Park)的说法，Facebook告诉该公司，Facebook很快会为Workplace提供单独的域名。 Park称，“我们得到的保证是（企业）数据将会存在于Facebook的消费者版本之外，这是彻底的改变，他们甚至会改变域名以反映这一点。” 新域名Workplace.com现已成为营销网站。 Facebook的Workplace产品经理卢克泰勒（Luke Taylor）周三告诉CNBC，预计在2019年的某个时候，Facebook企业客户将会从Workplace页面登录。 泰勒表示，这一域名的改变来自于一部分Facebook的Workplace客户先前对企业工具与Facebook的消费者业务托管在同一域名表示担忧。该公司已经逐一告知客户有关域名转移的信息。 泰勒告诉CNBC，“我们已经处于和他们分开这样的一个位置。继续把他们一起放在Facebook.com域名上有点困难了。从品牌的角度来看，这是我们想做的事情，当然我认为这也让我们的客户对产品本身更加信任。” 泰勒说，该公司希望首先对新客户开始使用该域名，然后帮助现有客户迁移进入。 “我们将与客户合作，确保客户以他们的节奏进行迁移”，泰勒表示：“当你看到Oculuses，Instagrams甚至Facebook的消费业务时，他们都拥有自己的域名和自己的品牌标识。正如我们看到我们的增长如此迅速增长以及我们对市场的牵引力增加，我们感到现在恰好是推进自有品牌的正确时机。”   稿源：，稿件以及封面源自网络；

讯 北京时间10月26日上午消息，据美国科技媒体TechCrunch报道，在Facebook出现一系列数据泄露丑闻之后（包括此前“剑桥分析”事件），欧洲议会提出要对Facebook进行全面审计。 之前Facebook有870万用户的数据被不正当获取及滥用，为此欧洲议会成员正在敦促该公司允许欧盟机构进行全面审计，以评估数据保护和用户个人数据的安全性。 在决议中，他们还建议Facebook调整其应对选举干预问题的做法——并坚称该公司不但辜负了欧洲用户的信任，还“违反了欧盟法律”。 本月早些时候，欧盟议会的民权委员会通过了一项类似的决议，要求对Facebook进行全面且独立的审计，并要求该公司进一步调整其平台。 民权委员会还要求欧盟竞争法进行更新以反映它所称的“数字现实”，并调查大型科技社交媒体平台“可能出现的垄断行为”。 在议会投票之后，民权委员会主席克劳德·莫拉斯（Claude Moraes）在声明中表示：“这是一个全球性的问题，已经影响了我们的公民公投和选举。这一决议规定了一些需要落实的措施，包括对Facebook进行独立审计、更新我们的竞争法以及采取额外的措施保护我们的选举。我们必须立刻采取行动，这么做不仅是要恢复公民对于在线平台的信任，也是要保护公民的隐私，恢复他们对于我们民主体系的信任和信心。” 在该决议通过之前，Facebook的创始人马克·扎克伯格（Mark Zuckerberg）曾出席欧盟议会的党团主席联席会议。此前，欧盟议会委员会也举办了一系列的听证会，Facebook工作人员参与出席。 欧盟新出台的数据保护框架《一般数据保护条例》（GDPR）在今年五月才生效——因此，Cambridge Analytica数据泄密事件的处理依然是依据先前的数据保护网络，即由成员国法东拼西凑而得的一个规定。 今天早些时候，英国数据监管机构表示对于Facebook的违规行为进行罚款的决定维持原判。根据英国之前的数据保护制度，罚款金额最高可达50万英镑。 在新的决议中，欧洲议会成员表示Cambridge Analytica获取的数据也许被用于政治用途，包括英国脱欧的公投以及2016年的美国总统大选——并称选举法将数字竞选因素考虑在内一事刻不容缓。 为了应对社交媒体干预选举一事，欧洲议会成员提议： – 在网络上采用传统的“离线”选举保障措施：制定关于花费透明度以及限制的规定、尊重静默期、平等对待候选人； – 便于识别线上付费政治广告以及活动背后的组织； – 严禁出于选举目的进行介绍，包括利用线上行为来揭露政治偏好； – 社交媒体应当标记机器人分享的内容，加快删除虚假账号，并与独立的事实核查人及学术界合作，以解决虚假信息的问题； – 成员国在欧洲检察官组织的支持下对于境外势力滥用在线政治空间的问题进行调查。 最近，英国的一个议会委员会敦促政府优先考虑民主流程面临的数字风险并据以调整选举法。不过至今为止，政府对此的态度依旧是较为谨慎，称还在通过审查该问题的不同方面以收集证据。 与此同时，Facebook也在一些地区推出了针对政治广告商的监测系统——包括英国。但是议会成员国显然认为这家公司需要采取更多措施。 英国DPA此前曾呼吁从道德角度认真考虑在线平台出现的政治微目标定位问题，并表示对于数据的使用方式以及可能被滥用一事有诸多担忧。   稿源：，稿件以及封面源自网络；

讯 北京时间10月22日早间消息，据美国科技媒体The Information援引知情人士消息称，Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触，收购目标尚未最终确定，但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称，在经历了历史上最重大的黑客攻击事件之后，Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前，Facebook发现了一个安全漏洞，黑客可利用这个漏洞控制用户帐号，这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响，但现在承认2900万用户的个人信息被泄露，包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道，Facebook已经初步得出结论，假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作，后者要求该公司不要公开讨论谁是袭击的幕后主使，或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞，攻击者利用了与其相关的代码，窃取“访问令牌”，接管了一些用户的帐号。攻击者还使用了一种技术，从已被控制的帐号的朋友那里窃取访问令牌，从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源：，稿件以及封面源自网络；

讯 北京时间10月22日下午消息，继今年发生的一系列影响全球数千万用户的数据泄露事件后，周一日本政府要求美国科技公司Facebook更好地保护用户的个人数据。 日本政府称，作为全球最大的社交媒体网络，Facebook应向用户充分传达安全问题，提高对平台上应用供应商的监管，并及时向监管机构告知任何安全措施的变更。 上述要求发生在Facebook本月宣称黑客袭击者窃走2900万用户账户数据之后。而在此之前的4月份，英国公司剑桥分析不当使用8700万用户个人数据的事件刚刚曝光。 日本个人信息保护委员会当时与英国和其他地区的监管机构一并调查了剑桥分析的事件。周一，该委员会发布声明，详细说明了委员会对Facebook提出的要求。这些要求并不附带行政命令或处罚，也不具有法律约束力。 日本个人信息保护委员会称，Facebook已承诺将在其日语网站上详细说明如何处理上述要求。 委员会还表示，剑桥分析事件可能也影响到10万日本用户，并且之后的网络攻击也可能对日本用户造成影响。 Facebook发言人未立即发表评论。   稿源：，稿件以及封面源自网络；

讯 北京时间10月18日上午消息，据MarketWatch报道，知情人士透露，Facebook认为获取其3000万用户隐私信息的黑客其实是垃圾信息散布者，其目的是通过这些信息来投放欺诈广告谋利。 知情人士表示，这项初步发现认为，这些黑客并没有与任何国家机构存在关系。Facebook的安全团队从9月25日就开始展开调查，他们当时发现有人下载了这家社交网络的大量数字访问令牌。 该公司之前并未披露攻击的幕后黑手，只是称之为该公司历史上最大的安全事件。当他们最早宣布此次攻击时，Facebook高管表示可能永远无法确定黑客身份。 内部调查认为，此次攻击是一群Facebook和Instagram垃圾信息散布者所为，他们伪装成数字营销公司，但其之前的行为就已经被Facebook安全团队所知。Facebook之前曾经表示，他们正在配合美国联邦调查局对此展开刑事调查。   稿源：，稿件以及封面源自网络；

网易科技讯 10月17日消息，据CNBC报道，美国当地时间周二，爱尔兰数据保护委员会(IDPC)证实，约有300万欧洲用户受到9月份Facebook安全漏洞的影响，用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》（GDPR）的首次重大考验，受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定，处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求，并必须在72小时内向相关机构报告违规情况。根据该规定，企业可能面临高达其全球年收入4%的罚款。 对Facebook来说，这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞，称有5000万个账户的登录密码被盗。不久前，这一数字降至3000万。Facebook证实，有2900万受影响用户的姓名和联系信息被曝光。在这些用户中，有1400万人的其他个人信息泄露，比如他们的性别、关系状况以及最近登记入住的地点等，这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响，但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露，受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大，因为Facebook已经证实，数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查，并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定，我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司，Facebook显然也包括其中。”   稿源：网易科技，封面源自网络；

讯 北京时间10月10日晚间消息，Facebook旗下消息服务WhatsApp日前曝出一项安全漏洞，当用户接听视频呼叫时，黑客即可控制用户的这款应用。 谷歌研究人员特拉维斯·奥曼迪(Travis Ormandy)在今年8月底发现了该漏洞，影响Android和iOS版本的WhatsApp应用。由于Facebook已在本月初发布了补丁程序，并修复了该漏洞，奥曼迪才公开该漏洞。 奥曼迪在Twitter上称：“用户只要发送一个视频通话邀请，如果用户接听，即可完全控制其WhatsApp。” 目前，Facebook尚未对此发表评论，也不清楚该漏洞在修复之前是否被黑客利用过。 但今年，Facebook已经被安全相关的问题弄得焦头烂额。继今年3月份的8700万用户信息被非法共享事件后，Facebook上月底又宣布，Facebook的“View As”(访客视图)功能存在缺陷，允许黑客获取访问权限，从而控制用户账号，受该漏洞影响的账号数量高达5000万个。   稿源：，稿件以及封面源自网络；

多家儿童和消费者保护组织表示，Facebook 通过 Messenger Kids 应用非法收集少年儿童数据。Campaign for a Commercial-Free Childhood（CCFC）和其他保护组织上周都要求美国联邦贸易委员会（FTC）调查这款以儿童为中心的消息应用是否违反《儿童网络隐私法保护法》（COPPA）。 这些组织认为，Facebook 在没有获得儿童父母允许的情况下违法收集了他们的信息。 投诉信显示，Messenger Kids 并没有满足 COPPA 的要求，因为它并没有努力确认开设帐号并获取数据的人的确是儿童的父母。 他们表示，有的人可以在不证明年龄或身份的情况下开设全新的虚假儿童帐号。 Facebook 上周三回应称，他们尚未对投诉信进行评估。 该公司曾经表示，不会在 Messenger Kds 中投放广告，也不会出于营销目的而收集数据，但他们的确会收集一些运营这项服务所必须的数据。 但相关组织表示，Messenger Kids 的隐私政策“既不完整，还很模糊”，使得 Facebook 可以将数据提供给第三方和 Facebook 的其他服务，以便用于“广泛而未明确的商业目的”。 CCFC 执行总监乔希·高林（Josh Golin）在声明中说：“虽然有证据显示过度使用社交媒体会对少年儿童的健康产生负面影响，但Facebook 还是希望勾住那些只有 5 岁的孩子。” 该公司对父母表示，Messenger Kids 是为了保护儿童安全，但却并没有遵守最基本的隐私法律要求。“父母的最佳选择很明确：让孩子远离 Facebook。”高林补充道。 Facebook 去年推出了 iOS 版 Messenger Kids，之后又扩大到 Android 和亚马逊的设备，而且从美国推向墨西哥和加拿大以及世界其他地方。 这款产品瞄准的是 13 岁以下儿童，从技术上讲，这些用户应该都没有 Facebook 帐号（尽管他们中很多人其实都已经注册了Facebook）。 投诉信写道：“我们自己的测试显示，想要创建一个虚假帐号来认证一个 Messenger Kids 帐号并不困难。我们用一个虚构的18岁身份创建了全新的 Facebook 帐号，然后使用这个帐号认证了一个虚构的 Messenger Kids 用户。整个过程只用了 5 分钟。” 虽然该公司表示，他们已经收到父母和儿童成长专家的许多建议和意见，但CCFC等组织一直都希望能彻底关闭 Messenger Kids。     稿源：，稿件以及封面源自网络；

讯 北京时间9月29日早间消息，Facebook周五宣布，该公司发现了一个安全漏洞，黑客可利用这个漏洞来获取信息，而这些信息原本可令黑客控制约5000万个用户账号。 Facebook CEO马克·扎克伯格（Mark Zuckerberg）称：“这是个非常严重的安全问题，我们正在非常认真地对待。” 在披露这一消息之前，Facebook股价已经下跌了1.5%左右，消息传出后进一步走低，到收盘时下跌2.59%报164.46美元，盘中一度触及162.56美元的低点。 Facebook发布博文称，该公司的工程团队发现，黑客在Facebook的“View As”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞，是因为该公司在9月16日注意到用户活动大增。 View As功能可让用户看到他们自己的个人资料在Facebook平台其他用户眼中是怎样的，而此次发现的漏洞包含了三个不同的bug，黑客可利用这个漏洞获取“访问令牌”（access token），从而控制其他用户的账号。 近5000万个用户账号的“访问令牌”已被黑客获取，但Facebook已对其进行了重置。在过去一年时间里，Facebook还已对另外4000万个使用View As功能的用户账号的“访问令牌”进行了重置，以此作为预防措施。也就是说，Facebook总共已对9000万个用户账号进行了重置，在截至6月30日的22.3亿名Facebook活跃用户总数中所占比例约为4%。 在“访问令牌”被重置后，用户需在登录时重新输入密码，此外还将在“信息流”（News Feed）中收到通知说明。 另外，Facebook还将暂时关闭View As功能，将对其安全性进行审查。Facebook在美国当地时间周四晚上称其已经修复了这个漏洞，并已通知美国联邦调查局（FBI）和爱尔兰数据保护委员会（Irish Data Protection Commission）等执法机关，目的是解决任何有关一般数据保护条例（GDPR）的问题。 Facebook称，用户没必要更改密码。如果有更多账号受到影响，则Facebook将马上对其“访问令牌”进行重置。Facebook重申，该公司将把致力于改进安全性的员工人数从1万人增加至2万人。 扎克伯格表示：“安全问题是场军备竞赛，我们正在继续改善自己的防御能力。”   稿源：，稿件以及封面源自网络；