Facebook今天报告了数据泄露事件，并迫使大量帐户注销以防万一。资料来源：纽约时报和Facebook。

纽约时报的那篇文章说：“该公司在周五早些时候强迫超过 9000 万用户注销，这是在帐户遭到入侵时采取的常见安全措施。”

来自 The Hacker News 的附加文章- “未知黑客或一群黑客利用其社交媒体平台中的一个零日漏洞，使他们能够窃取超过 5000 万个帐户的秘密访问令牌”和“Facebook 已经重置了访问令牌近 5000 万个受影响的 Facebook 帐户和另外 4000 万个帐户，作为预防措施”

是否有人成功进入我的帐户？如果是，那么他们如何绕过双因素身份验证？

如果您的帐户有 2fa，攻击者似乎不太可能利用此漏洞进入它。但许多 Facebook 用户不使用 2 因素身份验证。

该事件是正常的还是我应该采取安全措施？

已经为您采取了行动。您拥有的任何旧令牌都不再有效，对您和攻击者都无效。这就是为什么您突然无法在不重新登录的情况下访问 Facebook。对于任何可能想要利用一个让他们像你一样欺骗的令牌的人来说也是如此——他们也必须重新进行身份验证。Facebook 的任何声明都没有表明他们能够通过这种特定的利用或漏洞来验证您的身份。他们也没有完全清楚地表明 Facebook 所做的不仅仅是重置令牌 - 如果这就是他们所做的一切，那么攻击者所要做的就是再次开始收集令牌。我假设 Facebook 会同时修补漏洞，以便将来不会再次滥用被盗令牌。

这个问题是一个很好的机会来指出 FB严重拙劣地处理了这个问题。意外注销并要求重新登录看起来就像网络钓鱼，用户应该这样对待。

在使会话令牌无效后，Facebook 应该让无效的令牌不重定向到主登录页面，而是重定向到解释违规的页面并要求用户单击注销，然后手动输入facebook.com浏览器位置栏并再次登录。

这是一项预防措施，由 Facebook 发起。

它提醒我们一个非常重要的观点。

Facebook 是一个布告栏。不要把不想让别人看到的东西放在布告栏上。

记住这一点，许多“安全”担忧就会消失。不是全部，而是很多。