Порушення безпеки, що було виявлено інженерами Facebook (NASDAQ: FB) 25 вересня, дозволило зловмисникам безпосередньо контролювати облікові записи користувачів; близько 50 мільйонів з них, якщо бути точними.
Останні порушення безпеки в Facebook
Крім 50 мільйонів, Facebook також заявив, що існує ще 40 мільйонів рахунків, які є потенційно вразливими. Все сказано, що компанія виключила 90 мільйонів рахунків, щоб запобігти подальшому руйнуванню.
$config[code] not foundПід час оновлення системи безпеки Facebook визнав, що атака змогла скористатися складною взаємодією багатьох питань у своєму коді. Це відбулося через зміни, які компанія зробила на функцію завантаження відео в липні 2017 року, що вплинуло на функцію "Перегляд як".
Facebook сказав: "Нападники не тільки повинні були знайти цю вразливість і використати її для отримання маркера доступу, але потім вони повинні були повертатися з цього облікового запису до інших, щоб викрасти більше маркерів".
Ця атака не могла прийти в гірший час для Facebook. Компанія намагається посилити свою безпеку до майбутніх середньострокових виборів, в той же час намагаючись оговтатися від фіаско Кембриджського аналітики, в якому дані про близько 87 мільйонів користувачів було передано політичному консалтинговому агентству.
Функція перегляду як
Функція перегляду як дозволяє користувачам переглядати, як профіль виглядає іншим.
Зловмисникам вдалося скористатися трьома недоліками або помилками у функції «Перегляд як». У цьому ж оновлення безпеки Педро Канахуаті, віце-президент з техніки, безпеки та конфіденційності, перерахував такі недоліки:
- Перегляд As неправильно надав можливість розмістити відео.
- Нова версія завантажувача відео (інтерфейс, який буде представлений в результаті першої помилки), введений у липні 2017 року, неправильно створив маркер доступу, який мав дозволи на мобільний додаток Facebook.
- Коли завантажувач відео з'явився як частина View As, він створив маркер доступу НЕ для переглядача, але для користувача, який переглядав, дивився вгору.
Facebook заявив, що тимчасово вимкнув функцію "Перегляд як", поки він проводить огляд безпеки.
Обманювання Facebook для випуску маркерів доступу
З цією вразливістю, зловмисники змогли обманути Facebook у видачі їм маркерів доступу. Це дало їм доступ до облікових записів користувачів, як якщо б вони були користувачем.
Вони також мали доступ до послуг, які користувач може зареєструвати для використання Facebook, таких як Airbnb, Spotify, Tinder або інші програми та ігри.
Facebook скинув маркери доступу до 50 мільйонів облікових записів, які були зачеплені, а також додаткові 40 мільйонів рахунків, які могли бути вразливими.
Якщо ваш обліковий запис був одним із 90-мільйонних, які постраждали від цього інциденту, вам буде запропоновано повторно ввійти в систему Facebook і пов’язані облікові записи.
Хто відповідальний?
У конференц-зв'язку (PDF) Гай Розен, віце-президент з управління продуктами для Facebook заявив, що компанія повідомила правоохоронних органів і працює з ФБР.
Що стосується того, хто відповідає, то Росен продовжує говорити, що важко зрозуміти, хто стоїть за атакою, додавши: "Ми ніколи не зможемо дізнатися".
Зображення: Facebook
3 Коментарі ▼
