fackbook如何切换账号（我想为泄露5000万账户信息的）

fackbook如何切换账号（我想为泄露5000万账户信息的）有浅友可能要说了，「这么大的科技公司出现这么重大的安全事故，泄露了用户信息你不骂他还要点赞，这不是跪舔洗地么？！」不过，对于这次事件，我不知为何就想给 Facebook 点个赞。当时迫于美国、欧盟等各数据安全机构的压力，Facebook 的首席安全官被曝离职，扎克伯格也不得不在报纸上刊登道歉信「我们担负着保护你们数据的责任，如果我们办不到这一点，便失去了服务于你们的资格。」没想到啊没想到，几个月不到又出了事。估计再这么下去，首席安全官都能搞轮班制了，半年换一次，扫码付工资。

来源：浅黑科技（ID：qianheikeji）

排版：妮子小菇凉

最近几天，Facebook 又㕛叒因为网络安全问题上了头条：5000万账户受影响，股票也顺势来了一个小跳水。

记得几个月前扎克伯格就因为网站信息泄露影响美国总统选举的事，坐上庭审席，一脸苦逼。

当时迫于美国、欧盟等各数据安全机构的压力，Facebook 的首席安全官被曝离职，扎克伯格也不得不在报纸上刊登道歉信「我们担负着保护你们数据的责任，如果我们办不到这一点，便失去了服务于你们的资格。」

没想到啊没想到，几个月不到又出了事。

估计再这么下去，首席安全官都能搞轮班制了，半年换一次，扫码付工资。

不过，对于这次事件，我不知为何就想给 Facebook 点个赞。

有浅友可能要说了，「这么大的科技公司出现这么重大的安全事故，泄露了用户信息你不骂他还要点赞，这不是跪舔洗地么？！」

靓坤同学曾说过 “做错事要认，挨打要立正” 。公司出了安全问题，这个锅该谁背，肯定跑不了，但其实我想点赞的是另一件事。

一开始，我以为这件事是某个安全团队或者研究员发现漏洞后曝到媒体。可后来我发现，这件事居然是 Facebook 自己曝光出来的……

是的，这件事开始是从 Facebook 的官方博客里曝出来的。

（我去截了一张图，红字部分是译文）

一般来说，吃瓜群众看到新闻里曝出 《XX被曝漏洞，XXX万账户受影响》，第一反应多半是 “卧槽，又被拖库了？密码泄露？又得改密码啦？”

但这次，这件事跟账号密码泄露没啥关系。

事情是这样的：

首先，你得知道网络世界有个叫 token（令牌） 的东西。

如果访问一个网站比如微博、知乎，每次打开都要重新输入账号密码，显然太麻烦。

于是，程序员们想了个办法，当你第一次输入完账号密码登录后，网站发给你的浏览器一个 token ，之后在一定时间范围内再次打开该网站，浏览器就会自动拿着 token 去登录。

这就好比你去了一家公司上班，公司会给你发一个员工证，你在任职期间都能拿着这张卡片出入。

但是这个功能给 Facebook 埋下了隐患。

Facebook 又有一个名叫 “View as” 的功能，翻译过来就是 “你的谁谁（朋友、亲人）来看你了”，这个功能允许你的亲朋好友看你的主页。

这好比相当于你的亲戚朋友来你公司看望你，公司给他们每人发一张访客卡。

但是，Facebook 做这个项目的技术小哥在某个特殊情况下（访客状态下上传视频），让服务器把“员工证”发给了访客。

于是，访客拿到本不属于他的用户token，可以获得用户权限。

上面这一段描述，都是我从 Facebook 的官方博文里看到的。

那篇文章讲解了前因后果，并一五一十地罗列了紧急处理方法，包括：

• 通知执法部门和数据保护相关机构（罚款、整顿、求鞭笞、求滴蜡）；

• 紧急登出几千万用户，让他们重新输入密码验证；

• 修复漏洞并关闭了相关功能，准备重新全面安全审查

• 道歉，并公布了更多技术细节。

最后还附上了一段他们产品副总裁的视频，解释了前因后果。不说诚恳，至少中肯。

这种主动告知公众安全漏洞情况，真的不多见。

印象中，也就 2015年一个叫“草榴社区”的网站这么干过，不过我的记性不太好，如果大家还知道别的，可以在留言区说下。

（我居然还留着当时的图片，当时真是对这个叫大红鹰的站长刮目相看了）

目之所及，国内公司遇到数据泄露或者大漏洞，大体可分成三类：

第一类居多，通常等媒体曝光后再跑出来道歉解释发公告，有问题处理问题；

第二类厉害些，媒体刚一发稿曝光，没过两分钟就打电话急匆匆要求删稿，能藏就藏，藏不住再说。这类公司舆情系统做的比信息安全更牛；

第三类最厉害，火速修复漏洞，然后无论如何都一口咬定没问题。除非有人拿出泄露的数据作证。卧槽这谁敢作证，不是菊花痒等着被抓么……

我瞎说的，大家不要对号入座。

其实在国外，公开自家已修补的漏洞也还算常事，比如谷歌 、微软这样的大公司就带了个好头，他们会定期公布自家修补的漏洞。

（图片截取自网络）

再比如特斯拉就搞了个安全名人堂，每年把发现特斯拉汽车漏洞最多最屌的团队挂上去，里头中国的安全团队的名字倒是不少。

有漏洞丢人吗？的确有一那么一丢丢丢，但也可以理解，因为谁都不能保证没有漏洞。

可瞒着漏洞就已经不是丢人了，是可耻。这跟那些给小朋友吃过期食品的幼儿园有啥区别？跟那些在疫苗里惨假的企业有啥区别？

可能有人觉得泄露点数据也没什么，话说掺假的幼儿园和疫苗厂商一开始或许也觉得掺一点没太大关系，死不了人。可就因为这些泄露的数据，造就徐玉玉那样的惨案。

如今黑产、电信诈骗依然猖獗，在我们看不到的地方还有多少人受害？不知道，也没多少人care，大家都觉得不会发生在自家人头上。

这两年，国内企业对安全漏洞的态度好了一些，越来越多公司成立了SRC（应急响应中心），专门对接提交自家漏洞的白帽子。有时还会给报告自家安全漏洞的团队发表公开致谢。

甚至，几个大公司之间开始时不时切磋挖漏洞技艺，今天你曝光我一个漏洞，我给你发个致谢，过俩月你再报告我一个漏洞，我给你发个致谢，大家笑着流泪，敬个礼握握手，你是我滴好朋友。

2018年1月9日腾讯玄武实验室发现一个手机APP重大漏洞，可以影响市面上几十款APP，他们开了个发布会现场讲解演示，呼吁关注移动安全。

不过不巧的是，他们没有“避嫌”，用了阿里系的支付宝作漏洞演示。

一个月后，腾讯系的微信紧急修复了一个漏洞，反馈问题的是阿里安全团队：

（微信团队致谢阿里安全团队）

这类事其实还有不少。

2018年6月8日，腾讯SRC公开致谢360阿尔法团队：

没过几天，腾讯科恩实验室的技术大佬们出手了，于是：

（两个致谢仅隔了一周）

看到这里，浅友们可能又要问了：

幺哥觉得，太™有了！

因为漏洞就在那里，每修复一个漏洞，我们的网络世界就安全了一分，修复10086个漏洞，互联网就安全了一百分。

可以看出，氛围确实在慢慢好转，但目前顶多顶多也就是这样，曝光一下别人家的漏洞，相互切磋一下，极少极少极少有自己主动承认漏洞的，Facebook 在这件事上，是个老实人。

其实做网络安全的都知道，也都在跟别人说，“有漏洞不丢人，及时修复没出问题就好”。可大多数人就是一边试图说服别人要勇敢承认漏洞，有漏洞并不丢人，一边又对自己以及合作伙伴的安全问题避讳不谈，讳莫如深。

或碍于大佬朋友之间的情面，或碍于部门之间的权责，或碍于逼格，或碍于权利，总之碍于各种。

试想一下，如果 Facebook 这件事发生在别的甲公司、乙公司，会怎样？

大家都在说提倡要共同维护行业环境、互联网环境，维护世界和平，这就好比大家都说要保护环境从我做起，可很多人当真乱扔垃圾时，又会说“凭啥别人都扔，我不能扔”。

大家嘴上说着“要”，身体却很诚实。

今天我活捉一个老实人，给大家说道说道，大家不要孤立他。大家都在一个世界里生活，若想让这个世界变得更好，就得先让自己变好，对吧~

最后顺祝大家国庆假期愉快，年年有今日岁岁有今朝。

（找资料时看到一张图片还挺应景，不知道各位要去哪里玩耍呀~）

如果觉得文章对你有所帮助，欢迎留言并且推荐给你的好友。

本文由浅黑科技（ID：qianheikeji）原创发布，授权互联网早读课转载。内容仅代表作者独立观点，不代表早读课立场。如需转载，请联系原作者。