Naruszenie bezpieczeństwa, które 25 września odkryli inżynierowie Facebooka (NASDAQ: FB), umożliwiło atakującym przejęcie bezpośredniej kontroli nad kontami użytkowników; około 50 milionów z nich jest dokładnych.
Ostatnie naruszenie bezpieczeństwa Facebooka
Oprócz 50 milionów, Facebook powiedział także, że było jeszcze 40 milionów kont, które potencjalnie były zagrożone. Wszystko powiedziawszy, firma wylogowała 90 milionów kont, aby zapobiec dalszym szkodom.
$config[code] not foundW aktualizacji zabezpieczeń Facebook przyznał, że atak był w stanie wykorzystać złożoną interakcję wielu problemów w swoim kodzie. Stało się tak od zmiany, jaką firma wprowadziła do funkcji przesyłania filmów w lipcu 2017 r., Która ma wpływ na funkcję "Wyświetl jako".
Facebook powiedział: "Osoby atakujące nie tylko musiały znaleźć tę lukę i wykorzystać ją do uzyskania tokena dostępu, ale następnie musiały przestawić się z tego konta na inne, aby ukraść więcej tokenów."
Ten atak nie mógł nadejść w gorszym czasie dla Facebooka. Firma stara się zwiększyć bezpieczeństwo przed zbliżającymi się wyborami średniookresowymi, jednocześnie próbując odzyskać równowagę w wyniku fiaska Cambridge Analytica, w którym dane od około 87 milionów użytkowników zostały udostępnione agencji doradztwa politycznego.
Funkcja Widok jako
Funkcja Widok jako pozwala użytkownikom zobaczyć, jak profil wygląda na innych ludzi.
Atakujący byli w stanie wykorzystać trzy usterki lub błędy w funkcji "Zobacz jako". W tej samej aktualizacji zabezpieczeń Pedro Canahuati, wiceprezes ds. Inżynierii, bezpieczeństwa i prywatności, wymienił następujące usterki w następujący sposób:
- Wyświetl jako niepoprawnie podaną możliwość opublikowania wideo.
- Nowa wersja narzędzia do przesyłania filmów (interfejs, który zostanie zaprezentowany w wyniku pierwszego błędu), wprowadzona w lipcu 2017 r., Nieprawidłowo wygenerowała token dostępu, który posiadał uprawnienia aplikacji mobilnej Facebooka.
- Gdy program do przesyłania wideo pojawił się jako część widoku jako, wygenerował token dostępu NIE dla przeglądarki, ale dla użytkownika, który przeglądał.
Facebook powiedział, że tymczasowo wyłączyło funkcję Zobacz jako podczas przeprowadzania przeglądu bezpieczeństwa.
Nakłanianie Facebooka do wydawania tokenów dostępu
Dzięki tej luce atakujący byli w stanie oszukać Facebooka i wydać im tokeny dostępu. To dawało im dostęp do kont użytkowników tak, jakby byli użytkownikiem.
Mieli także dostęp do usług, które użytkownik mógł zarejestrować za pomocą Facebooka, takich jak Airbnb, Spotify, Tinder lub innych aplikacji i gier.
Facebook zresetował tokeny dostępu do 50 milionów kont, które zostały dotknięte, a także dodatkowe 40 milionów kont, które mogły być podatne na ataki.
Jeśli twoje konto było jednym z 90 milionów dotkniętych tym incydentem, zostaniesz poproszony o ponowne zalogowanie się na Facebooku i wszystkich połączonych kontach.
Kto jest odpowiedzialny?
W rozmowie konferencyjnej (PDF) Guy Rosen, wiceprezes ds. Zarządzania produktami na Facebooku, powiedział, że firma powiadomiła organy ścigania i współpracuje z FBI.
Jeśli chodzi o to, kto jest odpowiedzialny, Rosen mówi dalej, że ciężko jest odkryć, kto był za atakiem, dodając: "Być może nigdy się nie dowiemy".
Obraz: Facebook
3 komentarzy ▼
