Facebook已经迅速地关闭了一个漏洞:没有密码就能访问账户。漏洞暴露后被发布到了黑客新闻网站上。消息包含一个搜索字符串,在谷歌上搜索时,可以搜索到可以链接到132万Facebook账户的一个列表。有时候点击一个登录帐户的链接不需要密码。所有的链接暴露了Facebook用户的电子邮件地址。
被发布到黑客新闻网站上的一次性账户信息使用一个暴露了Facebook所使用系统的搜索语法,这个系统可以让用户使用Facebook迅速重新登录他们的账户。
提醒状态更新和通知的电子邮件通常包含一个链接,这个链接可以让用户的社交网络通过点击快速响应登录到他们的账户。
在一个被添加到黑客新闻网站信息的评论里,Facebook安全工程师马特·琼斯说,链接通常只发送到账户持有人的电子邮件地址。以这种方式发送链接只能点击一次。
“对于一个含有这些链接的搜索引擎, 电子邮件的内容需要在网上发布,”他写道。
琼斯先生怀疑,这么多邮件地址为一次性邮件网站或一个糟糕的保护存档信息的工作而被暴露,这是发生了什么。
被暴露的上百万条左右的链接早已过期,琼斯先生说。
“无论如何,由于这些链接被暴露,我们会关闭这项功能,直到可以再次更好地为那些电子邮件内容被暴露的用户确保了安全性才开始重新启用,”他说。
琼斯先生补充说,Facebook已经采取措施来保护那些因漏洞缺陷而被暴露的人的账户。
许多被暴露的是俄罗斯和中国的账户。
在官方声明中,Facebook方面说,链接被”直接发给私人电子邮件地址来帮助人们轻松地访问自己的账户,我们从来没有让其公开暴露或。”
然而,这些链接后来被发布到网络其他地方,导致在搜索引擎上可以被检索到。
Facebook方面又称:“我们一直都有通过提供一个额外的安全层来保护在这些私人链接,但我们已经禁用了这项的功能并最近开始修正使用这个功能的这些账户。”