Безопасность взломанного Facebook раскрывает аккаунты 50 миллионов пользователей
25 сентября 2018 года команда инженеров Facebook обнаружила проблему безопасности, которая затронула почти миллион учетных записей пользователей. Команда сообщила, что они серьезно рассматривают этот вопрос и приняли необходимые меры для защиты частной жизни людей.
Вице-президент по управлению продуктами Гай Розен сказал: «Известно, что злоумышленники использовали уязвимость в коде Facebook, которая затронула “Просмотреть как” функция, которая позволяет пользователю просматривать свой профиль так, как он выглядит для всех остальных. Это позволило хакерам украсть токены доступа Facebook, которые они позже использовали для захвата учетных записей пользователей ». Токены доступа похожи на цифровые ключи, которые удерживают пользователя в системе Facebook, поэтому пользователю не нужно вводить пароль в следующий раз, когда он будет использовать приложение. Что ж, команда безопасности Facebook уже предприняла необходимые действия. Первым шагом, который они сделали, было то, что они устранили уязвимость и проинформировали правоохранительные органы.
Переводчик Национального центра кибербезопасности сказал: «Мы расследуем, как произошло нарушение и повлияло на людей, и посоветуем соответствующие меры по смягчению». Второй шаг заключается в том, что для почти 50 миллионов учетных записей команда сбросила токены доступа. Мы находимся на грани сброса токенов доступа еще 40 миллионов учетных записей, которые подверглись “Просмотреть как” особенность. К этому времени около 90 миллионов пользователей должны будут снова войти в Facebook. После повторного входа пользователи будут уведомлены с помощью ленты новостей вверху со всеми объяснениями того же. Третье действие – временно отключить функцию «Просмотреть как» для проведения полной проверки безопасности. Гай Розен также добавил «Мы только начали расследование и еще не выяснили, используется ли информация этих аккаунтов каким-либо образом. Мы не знаем, кто стоит за этой атакой. В любом случае, мы прилагаем все усилия, чтобы разобраться в деталях, и скоро сообщим об этом ».
| Хронология Ошибка безопасности Facebook |
| Июль 2017 г. |
| Функция «С Днем Рождения» представляет недостаток в виде функции «Просмотреть как», которая позволяла хакерам красть токены доступа. |
| 16 сентября 2018 |
| Трафик наводняет серверы и открывает расследование |
| 25 сентября 2018 |
| Следственная группа обнаружила кражу 50 миллионов токенов доступа |
| 26 сентября 2018 |
| Facebook взаимодействует с ФБР |
| 28 сентября 2018 |
| Facebook публично разоблачает нарушение и сбрасывает 90 миллионов входов в учетные записи |
| 27 сентября 2018 |
| К вечеру исправляет недостаток |
28 сентября 2018 г. Педро Канахуати, вице-президент по проектированию, Безопасность и конфиденциальность обновлены дополнительные сведения о проблемах безопасности. На прошлой неделе группа безопасности Facebook сообщила, что внешний субъект атаковал системы и использовал уязвимость, которая раскрывала токены доступа Facebook для учетной записи пользователя в HTML при визуализации определенного компонента «Просмотреть как». Эти проблемы возникли в результате взаимодействия трех различных ошибок, упомянутых ниже.
Первая ошибка была связана с «Просмотреть как», которая представляет собой функцию конфиденциальности, которая позволяет пользователю более широко посмотреть, как его профиль выглядит для кого-то еще. Это должен быть интерфейс только для просмотра. Одна из версий, которая позволяет пользователям поздравлять своих друзей с днем рождения. Однако «Просмотреть как» допускал неправильный способ публикации видео. Вторая – это новая версия программы загрузки видео, которая была запущена в июле 2017 года. При этом был ненадлежащим образом создан токен доступа с разрешением мобильного приложения Facebook. В-третьих, когда этот загрузчик видео появился как часть View As, он генерировал токен доступа не для фактического зрителя, а для пользователя, который смотрит вверх.
Именно сочетание этих трех проблем стало уязвимым. Обсуждая этот момент, Педро Канахуати добавил: «При использовании функции« Просмотреть как » чтобы увидеть ваш профиль как стороннего пользователя, код не удаляет композитор, что позволяет другим поздравить вас с днем рождения. Скорее, загрузчик видео генерирует незаконный способ доступа к токенам. После создания токенов доступа видео не для вас, а для человека, который смотрит вверх. Затем эти токены доступа были доступны в HTML-коде страницы. Это заставило злоумышленников извлечь и использовать для входа в систему под другим пользователем. Это позволило получить больше токенов доступа при выполнении одних и тех же действий.
Кроме того, он также добавил, что они устранили проблемы с безопасностью и сбросили токены доступа почти для 50 миллионов учетных записей пользователей. Понятно, что мы затронули и сейчас предпринимают предварительные действия по сбросу токенов доступа еще для 40 миллионов пользователей. Более того, мы отключили функцию «Просмотр как» на время, чтобы выполнить исчерпывающий обзор безопасности.
