Kršitev varnosti, ki so jo 25. septembra odkrili inženirji Facebooka (NASDAQ: FB), je napadalcem omogočila neposreden nadzor nad uporabniškimi računi; približno 50 milijonov jih je natančnih.
Najnovejša varnostna kršitev na Facebooku
Poleg 50 milijonov jih je Facebook povedal tudi, da je še 40 milijonov računov potencialno ranljivih. Vse je povedalo, da je družba odjavila 90 milijonov računov, da bi preprečila nadaljnjo škodo.
$config[code] not foundV varnostni posodobitvi je Facebook priznal, da je napad uspel izkoristiti zapleteno interakcijo več vprašanj v svoji kodi. To se je zgodilo zaradi spremembe, ki jo je podjetje v juliju 2017 naredilo za funkcijo prenosa videoposnetkov, kar je vplivalo na funkcijo »Pogled kot«.
Facebook je dejal: "Napadalci niso le potrebovali, da bi našli to ranljivost in jo uporabili, da bi dobili dostopni žeton, temveč so se morali obrniti iz tega računa na druge, da bi ukradli več žetonov."
Ta napad za Facebook ni mogel priti v slabšem času. Podjetje poskuša povečati svojo varnost pred prihajajočimi vmesnimi volitvami in hkrati poskušati okrevati po fijasku Cambridge Analytica, v katerem so podatki o približno 87 milijonih uporabnikov delili z agencijo za politično svetovanje.
Pogled kot funkcija
Funkcija View As omogoča uporabnikom, da vidijo, kako profil izgleda drugim osebam.
Napadalci so lahko izkoristili tri napake ali napake v funkciji »Pogled kot«. V isti varnostni posodobitvi je Pedro Canahuati, podpredsednik za inženiring, varnost in zasebnost, navedene pomanjkljivosti navedel na naslednji način:
- Pogled Kot je nepravilno omogočil objavo videoposnetka.
- Nova različica prenosnika videa (vmesnik, ki bo predstavljen kot rezultat prve napake), uveden julija 2017, je nepravilno ustvaril žeton za dostop, ki je imel dovoljenje mobilne aplikacije Facebook.
- Ko se je video nalagalnik pojavil kot del Pogleda, je ustvaril žeton za dostop NE za gledalca, ampak za uporabnika, ki ga je gledalec pogledal.
Facebook je dejal, da je začasno izklopil funkcijo View As, medtem ko opravlja varnostni pregled.
Trickiranje Facebooka za izdajo žetonov za dostop
S to ranljivostjo so lahko napadalci prevarili Facebooka, da so jim izdali žetone za dostop. To jim je omogočilo dostop do uporabniških računov, kot da bi bili uporabniki.
Prav tako so imeli dostop do storitev, ki bi jih uporabnik lahko registriral za uporabo Facebooka, kot so Airbnb, Spotify, Tinder ali druge aplikacije in igre.
Facebook je ponastavil žetone za dostop do 50 milijonov računov, ki so bili prizadeti, in dodatnih 40 milijonov računov, ki so bili morda ranljivi.
Če je bil vaš račun eden od 90 milijonov, ki jih je prizadel ta incident, boste pozvani, da se ponovno prijavite na Facebook in vse povezane račune.
Kdo je odgovoren?
V konferenčnem klicu (PDF) je Guy Rosen, podpredsednik za upravljanje izdelkov za Facebook, dejal, da je podjetje obvestilo organe pregona in sodeluje z FBI.
V zvezi s tem, kdo je odgovoren, Rosen pravi, da je težko ugotoviti, kdo je bil za napadom in dodal: »Morda nikoli ne bomo vedeli.«
Slika: Facebook
3 Komentarji ▼
