CommuniLink 聯通國際網絡

無論是商用還是私人用途，Facebook 已經成為我們每天必定會瀏覽的社交網絡；而經常使用 Facebook 亦開始令商業用戶、個人用戶進一步將私密資料放到 Facebook 帳戶之中，因此一旦 Facebook 被發現出了問題，都會引起很大迴響。

我們相信 Facebook 本身亦明白到其平台安全的重要性，這點由她們招聘安全專家推斷得到，不過並非所有漏洞都能由 Facebook 安全專家第一時間發現得到，就好像今天公佈的漏洞，便是由第三方的專家透過White Hat 計劃向 Facebook 提交漏洞資訊所得。

今次 Facebook 於網站中主動公佈有關漏洞，並稱該漏洞已令 600 萬 Facebook 帳戶資料外洩，情況非常嚴重。有關漏洞容許用戶透過 Download Your Information (DYI) 工具下載不同 Facebook 朋友的用戶資料，同時更可將「朋友的朋友」資料一併下載回來，所有資訊可謂一目了然。

Facebook 解釋為什麼會出現這情況。首先當用戶分享了其聯絡人清單後，Facebook 系統便會自動從資料庫之中找出與用戶手機中的聯絡人清單擁有相同聯絡資訊特徵的 Facebook 帳戶，然後再向用戶發出「朋友建議」，讓大家能在 Facebook 中更容易找到與自己最有關連性的親朋好友。

為了要達到上述功能，Facebook 系統會不經意的將這些帳戶聯絡資訊分派到不同的 Facebook 帳戶之中，藉以提升聯絡資訊準確性。舉個例子，例如 Facebook 帳戶之中本身並沒有填上聯絡電話，但假如你其中一位朋友在建立 Facebook 帳戶時容許 Facebook 存取其手機之中的聯絡資料時，Facebook 便會自動為不同的 Facebook 帳戶「完善」其 Faceook 聯絡資訊，這些資訊雖然並不會直接顯示於網站之中，但卻可透過進階用戶常用的 Download Your Information (DYI) 工具一次抓取出來，令用戶的私隱資訊全外洩。有關工具現時已被 Facebook 暫時停用，Facebook 指將會在修正有關漏洞後才再次推出相關工具。

至於被洩漏的資料可多了，除了有上述提到的電話號碼之外，用戶的私人電郵亦在洩漏之列。幸好 Facebook 強調透過 DYI 工具下載用戶資料的次數不多，而且幾乎肯定資料並非由廣告商或黑客所下載的，至於如何確定 Facebook 則沒有提及。最後 Facebook 稱仍未收到任何用戶投訴，但仍為事件感到抱歉。她們指將進一步更強安全工作，並盡能力確保類似事件不再發生。假如你的帳戶在資料外洩帳戶名單之中，Facebook 將會於日內發電郵通知並作進一步的跟進工作。

以上資訊由www.hkitblog.com提供

正所謂「樹大招風」，像 Facebook 這個世界網民均認識的社交網站，自然較容易成為一眾黑客的目標，不過 Facebook 一直稱自己在保安方面做得非常好，那為什麼今次會讓黑客有機可乘呢？

Facebook 指事件起因是公司員工瀏覽手機程式開發者網頁所致，由於該網頁載有惡意軟件，員工進入有關網頁後，網頁內的惡意程式便即時於系統之中自動安裝。而有關漏洞主要來自 Java 程式，該漏洞能讓網頁中的惡意軟件避開防毒軟件偵測，並自動於員工的電腦中安裝惡意軟件，Facebook 稱早已通知 Oracle 有關漏洞，而 Oracle 亦迅速於 2 月 1 日發佈了修正檔。

最後 Facebook 強調沒有用戶資料外洩，並指一直以來都非常重視用戶的安全。似乎 Facebook 已將大部份責任推向 Oracle 的 Java 漏洞，雖然 Oracle 的 Java 漏洞看來與今次事件有關係，不過 Facebook 亦有責任為公司內的電腦保安把關，絕不能以其他軟件的漏洞作解釋，事關作為 Facebook 用戶根本無需理會 Facebook 背後的安全問題，我們關心的只是使用上的體驗及一個安全、易用的平台而已。

以上資訊由www.hkitblog.com提供

很多公司為了進行宣傳，難免都需要開啟一個 Facebook 帳戶供同事使用，然而當你開啟了一個 Facebook 帳戶後總會擔心帳戶的安全性；以往我們需要在錯綜複雜的設定位置中尋尋覓覓才可找到各部份安全性設定位置，對於繁忙的打工仔來說，無疑會影響工作效率。

不過從今天起大家大可放心了。事關今天 Facebook 正式推出全新的安全性設定工具，透過新的工具將令大家更容易完成所有安全設定工作。今次 Facebook 只對安全性設定方式進行更新，並未加入任何安全性方面的新功能，反而卻加入可讓用家設定自己 Facebook Profile 是否容許其他人搜尋到等類似的管理功能。

現時大家進入 Facebook 主頁的右上方即可看到新的按鈕，按下後便會見到如圖所示的畫面。Facebook 稱新增功能主要目的是希望大家進行安全性設定時更靈活、更方便。全新設定工具之中亦包括了全新的 Activity Log 顯示方式，而一直困擾用家的相片 Tag 功能，現在新的安全工具亦可讓用家更容易刪除有關的 Tag。

同時新工具亦可讓用家更直接看到那些 Facebook 用戶可看到自己的聯絡方法、那些用戶可看到自己的 Facebook 資料等。而最後值得一提的是 Facebook 亦一併加入教學功能，當大家每進入一個新的介面時，都會彈出提示訊息並進一步教授用家使用。

今次 Facebook 重新設計安全工具介面及位置，的確能令用家更方便以及更清楚、一次過看到自己 Facebook 的安全性如何，有興趣的話只需登入自己的 Facebook 並在右上方按下新加入的按鈕即可使用到。

以上資訊由www.hkitblog.com提供

Facebook 最近發現黑客可通過其流動網站大量收集電話號碼，因此限制用戶搜尋電話號碼的次數。Facebook 於網站發表聲明，聲稱有關問題並非程式錯誤。根據 Facebook 用戶私穩設定的預設值，任何人都可以利用你所提供的電郵地址、電話號碼及其他聯絡資料來搜尋你的個人資訊。用戶可以隨時在 Facebook 的私隱設定頁面更改有關設定。

上周一間獨立安全研究機構公開披露濫用 Facebook 電話搜尋功能的方法，不法之徒只要隨機產生大量電話號碼，便可以大量收集用戶資料。Facebook 要求用戶為其帳戶設定附屬的電話號碼才可使用多項額外功能，包括可加強帳戶安全的雙因子驗證選項。此外，Facebook 網站亦讓用戶利用電話號碼搜尋其擁有者的個人資料。

然而，以往 Facebook 未有限制用戶的搜尋次數，因此不法之徒可隨機產生數以千計的電話號碼，再利用 Facebook 網站的搜尋功能來找出這些號碼是否附屬於 Facebook 帳戶。他們可根據所找到的電話號碼來獲取有關用戶的 Facebook 個人資料，然後建立一個電話號碼資料庫，再出售予廣告商圖利，甚至用以進行電話詐騙。該獨立安全研究機構公開有關消息後，其他安全研究公司分別進行驗證，證實了漏洞確實存在。Facebook 雖然宣稱已解決該問題，但若有類似的漏洞，以下的解決方案或許能夠幫到大家：

– 防止資料外洩方案：防止敏感數據通過電郵、即時訊息、網站及 FTP 從企業網絡流出。
– 防止資料外洩方案(Endpoint)：阻止檔案下載至近端儲存裝置；複製至 USB 或其他可卸除式儲存裝置；燒錄至光碟；通過電郵、即時訊息、HTTP/HTTPS 或 FTP 傳送；複製及貼上；列印或通過電子傳真方式外洩。
– 以政策進行保護工作：通過基於政策的保護措施來加強伺服器防護，防止未獲授權人士及應用程式獲取敏感資訊或修改系統登錄項目。現時坊間亦有方案可預防受保護伺服器內的數據被移離伺服器以外。同時更可封鎖伺服器操作系統，阻止攻擊者通過破壞操作系統來入侵應用程式。

*上述資料由 Symantec 香港系統工程經理李輝建議提供

以上資訊由www.hkitblog.com提供

Facebook 已成為日常生活的一部份，亦正正是這個原因，Facebook 自然成為垃圾訊息、釣魚訊息的目標，而一直以來 Facebook 方面都在想盡辦法去應對這個問題。今天 Facebook 又再出新招，就是推出名為 phish＠fb.com 的投訴 Email，讓大家可以更直接向 Facebook 舉報。

Facebook 指當接收到用家提供的資料，他們將可以進一步調查，並將發佈垃圾訊息的帳號加入黑名單；而在某些情況下，更可拯救已中招的帳戶，令用戶避開黑客的威脅。有關方面指今次提供的 Email 本身已連接到內部的系統，透過該系統將會自動偵測到不同的釣魚網站有否經 Facebook 偷取用戶的帳號資料，讓 Facebook 管理員可將有問題的帳號停用；至於受影響的用戶，Facebook 會自動要求該名用戶更改帳戶資料，隨後更會提供簡單教學以加強用戶的安全意識。

如果大家懷疑自己的 Facebook 帳戶被盜，可以到以下網址尋求協助。

http://www.facebook.com/hacked

以上資訊由www.hkitblog.com提供