Facebook報告了一起重大安全漏洞，其中有5000萬用戶帳戶被未知攻擊者訪問。

Facebook表示，攻擊者通過竊取公司用來保持用戶登錄的數字密鑰，獲得了“控制”這些用戶帳戶的能力。他們可以通過利用Facebook代碼中的三個不同錯誤來實現這一目標。

該公司表示已經修復了這些漏洞并登出了5000萬用戶 - 另外還有4千萬易受攻擊的用戶 - 以便重置這些數字密鑰。用戶不需要更改他們的Facebook密碼，它說。

Facebook表示，它不知道攻擊的背后是誰或他們所在的位置。在周五與記者的電話會議上，首席執行官馬克扎克伯格(他自己的帳戶遭到入侵)表示，攻擊者可以查看私人消息或發布某人的帳戶，但沒有跡象表明他們這樣做了。

“我們還不知道是否有任何賬戶被濫用，”扎克伯格說。

在動蕩的安全問題和隱私問題的一年中，黑客是Facebook的最新挫折。但到目前為止，這些問題都沒有嚴重影響該公司20億全球用戶的信心。

這個最新的黑客攻擊涉及Facebook的“查看為”功能中的錯誤，該功能讓人們可以看到他們的個人資料對他人的看法。攻擊者利用該漏洞從使用“查看為”功能搜索其個人資料的人的帳戶中竊取數字密鑰，稱為“訪問令牌”。然后攻擊從一個用戶的Facebook好友移動到另一個用戶。擁有這些令牌將允許攻擊者控制這些帳戶。

Facebook產品管理副總裁蓋伊羅森說，其中一個漏洞已經超過一年，影響了“查看為”功能如何與Facebook的視頻上傳功能相互作用，以發布“生日快樂”消息。但直到9月中旬，Facebook才發現異常活動有所增加，而且直到本周才知道這次襲擊事件，羅森說。

羅森在與記者的電話中表示，“我們尚無法確定特定賬戶是否存在特定目標”。“它確實看起來很廣泛。我們還不知道這些攻擊的背后是誰以及他們可能在哪里。”

羅森說，密碼和信用卡數據都沒有被盜。他說，該公司已向美國和歐洲的聯邦調查局和監管機構發出警告。

Rendition Infosec的安全專家Jake Williams表示，他擔心黑客可能會影響第三方應用程序。

威廉姆斯指出，該公司的“Facebook登錄”功能允許用戶使用他們的Facebook憑據登錄其他應用程序和網站。“這些被盜的訪問令牌顯示用戶登錄Facebook時可能足以訪問第三方網站上的用戶帳戶，”他說。

Facebook周五晚間證實，第三方應用程序以及自己的Instagram應用程序可能已受到影響。

“這個漏洞存在于Facebook上，但是這些訪問令牌使得某人可以像使用帳戶一樣使用該帳戶，”羅森說。

今年早些時候有消息稱，曾在特朗普活動中使用的數據分析公司Cambridge Analytica不正當地從數百萬用戶檔案中獲取了個人數據。然后國會調查發現，至少自2016年以來，來自俄羅斯和其他國家的代理商一直在發布假政治廣告。四月，扎克伯格出席了一場專注于Facebook隱私實踐的國會聽證會。

Facebook漏洞讓人回想起對雅虎的更大攻擊，攻擊者攻擊了30億個賬戶 - 足以占據全球一半人口的一半。就雅虎而言，被盜信息包括姓名，電子郵件地址，電話號碼，出生日期和安全問題及答案。這是多年來一系列雅虎黑客行為之一。

美國檢察官后來指責俄羅斯特工利用他們從雅虎竊取的信息來監視俄羅斯記者，美國和俄羅斯政府官員以及金融服務和其他私營企業的雇員。

約翰斯·霍普金斯大學(Johns Hopkins University)教授托馬斯·里德(Thomas Rid)表示，在Facebook的案例中，要知道攻擊者的復雜程度以及他們是否與一個民族國家有關，可能為時尚早。Rid說它也可能是垃圾郵件發送者或罪犯。

“我們在這里看到的任何東西都不是那么復雜，需要一個州演員，”里德說。“對于任何情報機構來說，五千萬個隨機Facebook帳戶都不是很有趣。”

消費者權益組織美國PIRG的高級主管埃德·米爾茲溫斯基(Ed Mierzwinski)表示，這一違規行為“非常令人不安”。

“這是另一個警告，國會不得制定任何國家數據安全或數據泄露立法，削弱現行的國家隱私法，先發制人的權利，通過新的法律，以更好地保護他們的消費者，或否認他們的律師調查的一般權利違反或執行這些法律，“他在一份聲明中說。

Wedbush分析師Michael Pachter表示，“最重要的一點是我們從他們身上發現了”，這意味著Facebook，而不是第三方。

“作為用戶，我希望Facebook主動保護我的數據，讓我知道什么時候它被泄露，”他說。