Narušenie bezpečnosti, ktoré 25. septembra objavili inžinieri spoločnosti Facebook (NASDAQ: FB), umožnilo útočníkom prevziať priamu kontrolu nad používateľskými účtami. približne 50 miliónov z nich je presné.
Najnovšie porušenie bezpečnosti na Facebooku
Okrem 50 miliónov Facebook tiež uviedol, že bolo ďalších 40 miliónov účtov, ktoré boli potenciálne zraniteľné. Všetci povedali, že spoločnosť odhlásila 90 miliónov účtov, aby zabránila ďalším škodám.
$config[code] not foundV aktualizácii zabezpečenia Facebook pripustil, že útok dokázal využiť komplexné interakcie viacerých problémov vo svojom kóde. Znamenalo to to zmena, ktorú spoločnosť vykonala vo svojej funkcii nahrávania videa v júli roku 2017, ktorá ovplyvnila funkciu Zobraziť ako.
Facebook povedal: "Útočníci nielen potrebujú nájsť túto zraniteľnosť a použiť ju na získanie prístupového tokenu, ale potom museli z tohto účtu smerovať k iným, aby ukradli viac žetónov."
Tento útok nemohol prísť v horšom čase pre Facebook. Spoločnosť sa pokúša zvýšiť svoju bezpečnosť pred nadchádzajúcimi strednodobými voľbami a súčasne sa pokúsi o zotavenie z filmu Cambridge Analytica, v ktorom sa zdieľali údaje z približne 87 miliónov používateľov s politickou poradenskou agentúrou.
Funkcia Zobraziť ako funkciu
Funkcia Zobraziť ako umožňuje používateľom vidieť, ako sa profil pozerá na iných ľudí.
Útočníci mohli využiť funkciu "Zobraziť ako" tri chyby alebo chyby. V rovnakej aktualizácii zabezpečenia uviedol Pedro Canahuati, viceprezident pre inžinierstvo, bezpečnosť a súkromie, tieto nedostatky:
- Zobraziť ako nesprávne poskytnutá príležitosť na uverejnenie videa.
- Nová verzia aplikácie na odovzdávanie videí (rozhranie, ktoré by bolo prezentované ako výsledok prvej chyby), predstavené v júli 2017, nesprávne vygeneroval prístupový token, ktorý mal povolenia mobilnej aplikácie Facebook.
- Keď sa videorekordér objavil ako súčasť nástroja Zobraziť ako, vygeneroval prístupový token NOT pre diváka, ale pre používateľa divák vzhliadol.
Spoločnosť Facebook uviedla, že dočasne vypnutá funkcia Zobraziť ako pri vykonávaní kontroly bezpečnosti.
Trick Facebook na vydanie prístupových tokenov
S touto zraniteľnosťou útočníci mohli Facebooku napáliť do vydania prístupových žetónov. To im umožnilo prístup k používateľským účtom, akoby boli používateľmi.
Tiež mali prístup k službám, ktoré používateľ mohol zaregistrovať na používanie Facebooku ako Airbnb, Spotify, Tinder alebo iné aplikácie a hry.
Spoločnosť Facebook obnovila prístupové toky z 50 miliónov účtov, ktoré boli ovplyvnené, ako aj ďalších 40 miliónov účtov, ktoré mohli byť zraniteľné.
Ak bol váš účet jedným z 90 miliónov postihnutých touto udalosťou, budete vyzvaný na opätovné prihlásenie na Facebook a všetky prepojené účty.
Kto je zodpovedný?
V konferenčnom hovore (PDF) Guy Rosen, viceprezident produktového manažmentu pre spoločnosť Facebook povedal, že spoločnosť oznámila vymáhanie práva a pracuje s FBI.
Pokiaľ ide o to, kto je zodpovedný, Rosen ďalej tvrdí, že je ťažké zistiť, kto bol za útokom, a dodal: "Možno nikdy nevieme."
Obrázok: Facebook
3 Komentáre ▼
