Kršenje sigurnosti koje su inženjeri Facebooka (NASDAQ: FB) otkrili 25. rujna omogućili su napadačima izravnu kontrolu nad korisničkim računima; oko 50 milijuna ih je točno.
Najnovije sigurnosne povrede Facebooka
Osim 50 milijuna, Facebook je također rekao da postoji još 40 milijuna računa koji su potencijalno ranjivi. Sve navedeno, tvrtka je odjavila 90 milijuna računa kako bi spriječila daljnje oštećenje.
$config[code] not foundU sigurnosnom ažuriranju, Facebook je priznao da je napad mogao iskoristiti složenu interakciju višestrukih problema u svom kodu. To se dogodilo zbog promjene koju je tvrtka napravila na značajci prijenosa videozapisa u srpnju 2017., a koja je utjecala na značajku "Prikaz kao".
Facebook je rekao: "Napadači nisu trebali samo pronaći ovu ranjivost i koristiti je da bi dobili pristupni token, nego su se morali okrenuti s tog računa na druge da bi ukrali više žetona."
Ovaj napad nije mogao doći u najgore vrijeme za Facebook. Tvrtka pokušava povećati svoju sigurnost prije predstojećih srednjoročnih izbora, dok se istovremeno pokušava oporaviti od fijaska iz Cambridge Analytice, u kojem su podaci od oko 87 milijuna korisnika podijeljeni s agencijom za političko savjetovanje.
Prikaz kao značajka
Značajka "Prikaži kao" omogućuje korisnicima da vide kako drugi profil izgleda.
Napadači su mogli iskoristiti tri nedostatka ili greške u značajki "View As". U istom sigurnosnom ažuriranju, Pedro Canahuati, potpredsjednik za inženjerstvo, sigurnost i privatnost, naveo je te nedostatke na sljedeći način:
- Prikaži kao pogrešno pružena mogućnost postavljanja videozapisa.
- Nova verzija prijenosnika videozapisa (sučelje koje će biti predstavljeno kao rezultat prve pogreške), uvedeno u srpnju 2017., pogrešno je generiralo pristupni token koji je imao dozvole za mobilnu aplikaciju Facebook.
- Kada se učitavač videozapisa pojavio kao dio prikaza Kao, generirao je pristupni token NE za gledatelja, ali za korisnika koji je gledatelj gledao gore.
Facebook je objavio da je privremeno isključio značajku View As dok provodi sigurnosni pregled.
Iskrivljavanje Facebooka za izdavanje žetona za pristup
Uz ovu ranjivost, napadači su uspjeli prevariti Facebooka u izdavanju pristupnih tokena. To im je omogućilo pristup korisničkim računima kao da su korisnici.
Također su imali pristup uslugama koje je korisnik mogao registrirati za korištenje Facebooka, kao što su Airbnb, Spotify, Tinder ili druge aplikacije i igre.
Facebook je resetirao pristupne tokene od 50 milijuna računa koji su bili pogođeni, kao i dodatnih 40 milijuna računa koji su možda bili ranjivi.
Ako je vaš račun bio jedan od 90 milijuna koji su pogođeni ovim incidentom, od vas će se tražiti da se ponovno prijavite na Facebook i sve povezane račune.
Tko je odgovoran?
U konferencijskom pozivu (PDF) Guy Rosen, potpredsjednik za upravljanje proizvodima za Facebook, izjavio je da je tvrtka obavijestila policijske službenike i surađuje s FBI-om.
Što se tiče odgovornog, Rosen kaže da je teško otkriti tko stoji iza napada, dodajući: "Možda nikad nećemo znati."
Slika: Facebook
3 Komentari ▼