Sikkerhetsbrudd som ble oppdaget av Facebook (NASDAQ: FB) ingeniører 25. september fikk angriperne til å ta direkte kontroll over brukerkontoer; rundt 50 millioner av dem skal være nøyaktige.
Den siste Facebook-sikkerhetsbrudd
I tillegg til de 50 millioner, sa Facebook også at det var en annen 40 millioner kontoer som var potensielt sårbare. Alle sa, selskapet logget ut 90 millioner kontoer for å hindre ytterligere skade.
$config[code] not foundI en sikkerhetsoppdatering innrømmet Facebook at angrepet var i stand til å utnytte det komplekse samspillet mellom flere problemer i sin kode. Dette skjedde fra en endring som selskapet gjorde til sin videoopplastingsfunksjon i juli 2017 som påvirket "View As" -funksjonen.
Facebook sa: "Angriperne behøvde ikke bare å finne dette sikkerhetsproblemet og bruke det til å få et tilgangstoken, da måtte de svinge fra den kontoen til andre for å stjele flere tokens."
Dette angrepet kunne ikke vært på verre tid for Facebook. Selskapet forsøker å sikre sin sikkerhet før de kommende midtveisvalget, samtidig som man prøver å gjenopprette seg fra Cambridge Analytica-fiaskoen, hvor data fra rundt 87 millioner brukere ble delt med et politisk konsulentbureau.
Vis som funksjon
Vis som-funksjonen lar brukerne se hvordan en profil ser ut til andre.
Angriperne kunne utnytte tre feil eller feil i "View As" -funksjonen. I samme sikkerhetsoppdatering opplyste Pedro Canahuati, visepresident for engineering, sikkerhet og personvern, de feilene som følger:
- Vis som feil gitt muligheten til å legge inn en video.
- En ny versjon av videoopplasteren (grensesnittet som skulle bli presentert som et resultat av den første feilen), introdusert i juli 2017, genererte feilaktig en tilgangstoken som hadde tillatelsene til Facebook-mobilappen.
- Når videoopplasteren dukket opp som en del av View As, genererte den tilgangstoken IKKE for betrakteren, men for brukeren så seeren opp.
Facebook sa at den har slått av Vis som-funksjonen midlertidig mens den gjennomfører en sikkerhetsvurdering.
Lurte Facebook på å utstede tilgangstegn
Med dette sårbarheten kunne angriperne lure Facebook til å utstede dem tilgangstokener. Dette ga dem tilgang til brukerkontoer som om de var brukeren.
De hadde også tilgang til tjenester som brukeren kanskje har registrert for bruk av Facebook som Airbnb, Spotify, Tinder eller andre programmer og spill.
Facebook har tilbakestilt tilgangstokenene til de 50 millioner kontoene som ble berørt, samt de ytterligere 40 millioner kontoene som kan ha vært utsatt.
Hvis kontoen din var en av de 90 millioner som er berørt av denne hendelsen, blir du bedt om å logge på Facebook og eventuelle tilknyttede kontoer.
Hvem er ansvarlig?
I en konferansesamtale (PDF) sa Guy Rosen, direktør for produktstyring for Facebook, at selskapet har varslet rettshåndhevelse og jobber med FBI.
Når det gjelder hvem som er ansvarlig, fortsetter Rosen å si at det er vanskelig å oppdage hvem som sto bak angrepet, og la til «Vi kan aldri vite».
Bilde: Facebook
3 kommentarer ▼
