Нарушение безопасности, обнаруженное инженерами Facebook (NASDAQ: FB) 25 сентября, позволило злоумышленникам получить прямой контроль над учетными записями пользователей; около 50 миллионов, если быть точным.
Последнее нарушение безопасности Facebook
В дополнение к 50 миллионам Facebook также сказал, что было еще 40 миллионов учетных записей, которые были потенциально уязвимы. В общей сложности компания вышла из 90 миллионов учетных записей, чтобы предотвратить дальнейший ущерб.
$config[code] not foundВ обновлении безопасности Facebook признал, что атака смогла использовать сложное взаимодействие нескольких проблем в своем коде. Это произошло из-за изменений, внесенных компанией в функцию загрузки видео в июле 2017 года, которые повлияли на функцию «Просмотреть как».
Facebook сказал: «Злоумышленникам нужно было не только найти эту уязвимость и использовать ее для получения токена доступа, но затем им пришлось переходить с этого аккаунта на других, чтобы украсть больше токенов».
Эта атака не могла быть в худшее время для Facebook. Компания пытается усилить свою безопасность перед предстоящими промежуточными выборами, и в то же время пытается оправиться от фиаско Cambridge Analytica, когда данные о 87 миллионах пользователей были переданы политическому консалтинговому агентству.
Представление как особенность
Функция «Просмотреть как» позволяет пользователям видеть, как профиль выглядит для других людей.
Злоумышленникам удалось воспользоваться тремя недостатками или ошибками в функции «Просмотреть как». В том же обновлении для системы безопасности Педро Канахуати, вице-президент по проектированию, безопасности и конфиденциальности, перечислил эти недостатки следующим образом:
- Просмотр как неправильно предоставил возможность опубликовать видео.
- Новая версия средства загрузки видео (интерфейс, который будет представлен в результате первой ошибки), представленная в июле 2017 года, неверно сгенерировала токен доступа, который имел разрешения мобильного приложения Facebook.
- Когда средство загрузки видео появилось как часть View As, оно сгенерировало токен доступа НЕ для зрителя, а для пользователя, который смотрел зритель.
Facebook заявил, что временно отключил функцию «Просмотреть как» во время проверки безопасности.
Обман Facebook для выдачи токенов доступа
С этой уязвимостью злоумышленники смогли обманным путем заставить Facebook выдать им токены доступа. Это дало им доступ к учетным записям пользователей, как если бы они были пользователем.
У них также был доступ к сервисам, которые пользователь мог зарегистрировать для использования Facebook, такие как Airbnb, Spotify, Tinder или другие приложения и игры.
Facebook сбросил токены доступа 50 миллионов учетных записей, которые были затронуты, а также дополнительные 40 миллионов учетных записей, которые могли быть уязвимы.
Если ваша учетная запись была одной из 90 миллионов, затронутых этим инцидентом, вам будет предложено повторно войти на Facebook и любые связанные учетные записи.
Кто ответственный?
В телефонной конференции (PDF) Гай Розен, вице-президент по управлению продуктами для Facebook, сказал, что компания уведомила правоохранительные органы и работает с ФБР.
Что касается того, кто несет ответственность, Розен продолжает, что трудно определить, кто стоял за атакой, добавив: «Мы можем никогда не узнать».
Изображение: Facebook
3 комментария ▼
