Facebook发现“没有证据”黑客访问了连接的第三方应用

好消息是，Facebook“到目前为止”没有找到证据证明这种说法。

Facebook安全副总裁盖伊·罗森（Guy Rosen）在周二发布的一篇博客文章中透露，调查人员“没有发现证据”表明黑客通过“使用Facebook登录”功能访问第三方应用。

罗森说：“我们已经分析了上周发现的攻击中安装或登录的所有第三方应用的日志。到目前为止，调查还没有发现攻击者使用Facebook登录访问任何应用的证据”。

这并不意味着已经被Facebook吊销的被盗访问令牌不会对成千上万使用Facebook登录的第三方服务构成任何威胁，因为该公司解释说，这取决于网站如何验证其用户的访问令牌。

许多不使用Facebook官方SDK定期验证用户访问令牌的网站仍可能允许攻击者使用已撤销的访问令牌访问用户帐户。

为了帮助这些网站，Facebook正在开发一种工具，使开发者能够“手动识别可能受到影响的应用程序用户，以便他们可以将其注销”

“任何使用我们官方Facebook SDK的开发者，以及所有定期检查用户访问令牌有效性的开发者，都会在我们重置用户访问令牌时自动受到保护，”罗森说。

Facebook上周宣布了有史以来最严重的数据泄露事件，称未知黑客利用其代码中的一系列漏洞窃取了5000万个账户令牌—；让用户保持登录状态的数字密钥，这样他们就不需要在每次使用应用程序时重新输入凭据。

这家社交媒体巨头在周四晚上解决了这个问题，并通过重置访问令牌，强制将9000万用户注销其帐户，以防万一。
即使在Facebook宣布没有发现任何证据表明黑客在大规模攻击中访问使用Facebook单一登录的第三方服务后，其中一些服务仍在采取必要措施保护其用户。

例如，优步在数据泄露事件发生后暂时终止了所有活跃的基于Facebook的登录会话，但该公司仍在调查泄露事件。

这家社交媒体巨头尚未披露应对此次大规模攻击负责的攻击者、他们的来源，以及他们可能从受影响的5000万Facebook用户那里窃取的数据。

爱尔兰数据保护委员会（Irish Data Protection Commission）表示，在被攻击的5000万用户（相当于500万用户）中，不到10%的用户位于欧盟（EU），如果Facebook发现在保护用户安全方面做得不够，根据国家通用数据保护条例（GDPR），它将被处以最高16.3亿美元的罚款。