Narušení bezpečnosti, které 25. září objevili inženýři společnosti Facebook (NASDAQ: FB), umožnilo útočníkům, aby převzali přímou kontrolu nad uživatelskými účty; přibližně 50 milionů z nich je přesné.
Nejnovější porušování bezpečnosti na Facebooku
Kromě 50 milionů lidí Facebook také uvedla, že bylo dalších 40 milionů účtů potenciálně ohrožených. Všichni uvedli, že firma odhlásila 90 milionů účtů, aby zabránila dalším škodám.
$config[code] not foundV aktualizaci zabezpečení Facebook připustil, že útok mohl využít komplexní interakci více problémů ve svém kódu. To se projevilo změnou, kterou společnost provedla v červenci roku 2017 na funkci nahrávání videa, která ovlivnila funkci "Zobrazit jako".
Facebook řekl: "Útočníci nejen že potřebují tuto chybu najít a použijí ji k získání přístupového tokenu, ale pak museli z tohoto účtu otočit k ostatním, aby ukradli další žetony."
Tento útok nemohl přijít v horším čase pro Facebook. Společnost se pokouší zvýšit svou bezpečnost před nadcházejícími střednědobými volbami a současně se pokusí zotavit se z fiasku Cambridge Analytica, ve kterém byly sdíleny údaje z přibližně 87 milionů uživatelů s politickou poradenskou agenturou.
Funkce Zobrazit jako
Funkce Zobrazit jako umožňuje uživatelům vidět, jak profil vypadá na jiné uživatele.
Útočníci mohli využít funkce "Zobrazit jako" tři chyby nebo chyby. Ve stejné aktualizaci zabezpečení uvedl Pedro Canahuati, místopředseda pro inženýrství, bezpečnost a soukromí, následující nedostatky:
- Zobrazit jako nesprávně poskytnutá možnost poslat video.
- Nová verze videoklipu (rozhraní, které by bylo prezentováno v důsledku první chyby), představené v červenci 2017, nesprávně vygenerovalo přístupový token, který měl oprávnění mobilní aplikace Facebook.
- Když se nahrávání videa objevilo jako součást zobrazení jako, vygeneroval přístupový token NE pro diváka, ale pro uživatele prohlížeč vzhlížel.
Facebook uvedl, že dočasně vypnul funkci Zobrazit jako, zatímco provádí bezpečnostní recenzi.
Trvá Facebook na vydání přístupových tokenů
S touto chybou zabezpečení útočníci mohli Facebooku popřít, že je vydávají přístupové žetony. To jim umožnilo přístup k uživatelským účtům, jako kdyby byli uživatelé.
Mají také přístup ke službám, které uživatel mohl zaregistrovat pro používání Facebooku jako Airbnb, Spotify, Tinder nebo jiné aplikace a hry.
Společnost Facebook obnovila přístupové žetony 50 milionů účtů, které byly zasaženy, stejně jako dalších 40 milionů účtů, které by mohly být zranitelné.
Pokud byl váš účet jedním z 90 milionů postižených tímto incidentem, budete vyzváni k opětovnému přihlášení na Facebooku a na všechny propojené účty.
Kdo je zodpovědný?
V konferenčním hovoru (PDF) Guy Rosen, viceprezident Product Management pro společnost Facebook, uvedl, že společnost oznámila vymáhání práva a spolupracuje s FBI.
Pokud jde o to, kdo je zodpovědný, Rosen říká, že je těžké zjistit, kdo je za útokem, a dodává: "Možná nikdy nevíme."
Obrázek: Facebook
3 Komentáře ▼
