A Facebook (NASDAQ: FB) mérnökei által szeptember 25-én felfedezett biztonsági megszegés lehetővé tette a támadók számára, hogy közvetlen ellenőrzést kapjanak a felhasználói fiókok felett; körülbelül 50 millióan pontosak.
A legújabb Facebook biztonsági megsértése
Az 50 millió mellett a Facebook azt is elmondta, hogy további 40 millió számla is potenciálisan sérülékeny volt. Mindez azt mondta, hogy a vállalat kilencvenmillió fiókot hozott ki a további károk elkerülése érdekében.
$config[code] not foundEgy biztonsági frissítésben a Facebook elismerte, hogy a támadás kihasználhatja a kódban lévő több kérdés összetett interakcióját. Ez egy olyan változás következménye, amelyet a cég 2017 júliusában készített videó feltöltő funkciójával módosított, ami a „View As” funkciót érinti.
A Facebook azt mondta: „A támadóknak nemcsak a biztonsági rést kell találniuk, hanem a hozzáférési token megszerzéséhez is használniuk kellett.
Ez a támadás nem jött volna rosszabb időre a Facebook számára. A vállalat a közelgő választások előtt megpróbálja felgyorsítani a biztonságát, miközben megpróbálja felépülni a Cambridge Analytica fiaskóból, amelyben mintegy 87 millió felhasználó adatait megosztották egy politikai tanácsadó ügynökséggel.
A nézet funkcióként
A View As funkció lehetővé teszi a felhasználók számára, hogy lássák, hogyan néz ki a profil más emberekre.
A támadók három hibát vagy hibát tudtak kihasználni a „View As” funkcióban. Ugyanezen biztonsági frissítésben Pedro Canahuati, a mérnöki, biztonsági és adatvédelmi alelnök az alábbi hibákat sorolta fel:
- Nézet Mivel helytelenül adták meg a videót.
- A videó feltöltő új verziója (az első hibakeresés eredményeként megjelenő felület), amelyet 2017 júliusában mutattak be, helytelenül generált egy hozzáférési tokent, amely rendelkezik a Facebook mobilalkalmazás engedélyeivel.
- Amikor a videó feltöltője a View As részeként jelenik meg, létrehozta a hozzáférési tokent, amely nem a néző számára, hanem a felhasználó számára, akit keresett.
A Facebook azt mondta, hogy ideiglenesen kikapcsolta a View As funkciót, miközben biztonsági felülvizsgálatot végez.
A Facebook kiadása a hozzáférési tokenekhez
Ezzel a sebezhetőséggel a támadók meg tudták becsapni a Facebookot a hozzáférési tokenek kiadásához. Ez lehetővé tette számukra a felhasználói fiókokhoz való hozzáférést, mintha a felhasználók lennének.
Hozzáférésük volt a felhasználó által regisztrált szolgáltatásokhoz is, mint például az Airbnb, a Spotify, a Tinder vagy más alkalmazások és játékok.
A Facebook visszaállította az érintett 50 millió fiók hozzáférési jeleit, valamint a további 40 millió fiókot, amely esetleg sebezhető volt.
Ha fiókja egyike volt az incidens által érintett 90 milliónak, akkor a rendszer kéri, hogy jelentkezzen be újra a Facebookra és a kapcsolódó fiókokra.
Ki a felelős?
Konferenciahívásban (PDF) Guy Rosen, a Facebook termékmenedzsment alelnöke azt mondta, hogy a vállalat bejelentette a bűnüldözést, és együttműködik az FBI-val.
Ami a felelősséget illeti, Rosen azt mondja, hogy nehéz megtudni, ki volt a támadás mögött, hozzátéve: „Soha nem tudjuk.”
Kép: Facebook
3 Megjegyzések ▼
