Facebook poinformował o poważnej luce, która od roku pozwalała na nieautoryzowany dostęp do kont użytkowników. Jeśli zostałeś samoczynnie wylogowany z serwisu, to znaczy, że ktoś mógł wykraść twój token i mieć dostęp do twoich danych.
Błąd pojawił się podczas zmian jakie Facebook wprowadzał w funkcji wgrywania video, ale nie od razu został zauważony. Według komunikatu Facebooka atakujący wykorzystali błąd w kodzie funkcji “View as” (“Wyświetl jako”), która pozwala na podejrzenie jak Twój profil jest widziany przez kogoś innego.
Przycisk ten nie pojawiał się zawsze, ale wtedy, kiedy oglądany profil miał “post specjalny”, np. w trakcie urodzin, na postach “zachęcających do składania życzeń”. Analiza podpiętego pod przycisk skryptu pozwalała na kradzież tokena sesyjnego osoby, którą użytkownik ustawiał jako ta, której oczami chciał oglądać swój profil. Token mógł zostać użyty do przejęcia kontroli nad cudzym kontem.
Tokeny są odpowiednikiem “cyfrowych kluczy”, które aplikacja Facebooka i przeglądarka internetowa wykorzystuje do automatycznego logowania użytkownika na jego konto, tak aby nie musiał wprowadzać swojego hasła za każdym razem.
Szacuje się, że hakerzy mogli pobrać ok. 50 mln tokenów. Facebook nagły wzrost ruchu na serwisie zauważył 16 września, a dziurę odkrył 25 września. W piątek zresetowano tokeny sesyjne 90 milionom osób - 50 mln, które padły ofiarami ataku hakerskiego oraz 40 dodatkowym milionom osób, których profile użyto w ramach funkcji “View As” w trakcie minionego roku, ale nie wykradziono im tokenów sesyjnych oraz danych z konta.
Jak podaje serwis niebezpiecznik.pl, hasła użytkowników Facebooka nie wyciekły i nie trzeba ich zmieniać. Ale niestety, w przypadku tej dziury, hasła nie były do niczego potrzebne atakującym. Mając token, mieli dostęp do praktycznie wszystkich danych użytkownika–ofiary, także do jego prywatnych rozmów.
"Prywatność i bezpieczeństwo użytkowników są dla nas niezwykle ważne i przykro nam, że ta sytuacja miała miejsce – zapewnia Facebook. - Dlatego bezzwłocznie podjęliśmy działania, aby zabezpieczyć narażone konta i powiadomić użytkowników o tym co się stało. Jednocześnie informujemy, że nie ma potrzeby zmieniania haseł. Osoby, które mają problemy z zalogowaniem się na Facebooku (na przykład dlatego, że zapomniały hasła), powinny odwiedzić nasze Centrum pomocy. Użytkownicy, którzy chcą na wszelki wypadek wylogować się z Facebooka, powinni odwiedzić sekcję „Bezpieczeństwo i logowanie” w ustawieniach. Wymieniono tam wszystkie miejsca, w których użytkownicy są zalogowani na Facebooku. Użytkownik może wylogować się z nich wszystkich przy pomocy jednego kliknięcia" - czytamy w komunikacie.
Facebook, choć sugeruje, że atakujący podglądali jedynie dane profilowe a nie prywatne rozmowy, to jednocześnie przyznaje, że (jeszcze) nie ma stuprocentowej pewności co do tego, jak atakujący wykorzystywali nieautoryzowane dostępy do kont. Firma powiadomiła organy ścigania o przestępstwie i zapewnia, że będzie informować użytkowników o nowych ustaleniach.
"Ponieważ dopiero rozpoczęliśmy nasze dochodzenie, musimy jeszcze ustalić, czy konta te zostały wykorzystane niezgodnie z przeznaczeniem” – napisał na blogu firmy Guy Rosen, wiceprezes ds. zarządzania produktami. „Nie wiemy też, kto kryje się za tymi atakami. Dokładamy wszelkich starań, aby lepiej zrozumieć te szczegóły – i zaktualizujemy ten post, gdy będziemy mieli więcej informacji lub jeśli fakty się zmienią.”
Po wykryciu błędu natychmiast go załatano, ale na tę chwilę nie wiadomo jeszcze kto (i w jaki sposób) z niego skorzystał. Na razie nie można też stwierdzić, czy ktoś kto został wylogowany był w grupie 50 milionów ofiar, czy 40 milionów użytkowników, którym tokeny Facebook zresetował prewencyjnie.
Co ciekawe, wiadomości o tym ataku pojawiły się w kilka godzin po tym, jak znany tajwański haker Chang Chiuan zadeklarował usunięcie profilu Marka Zuckerberga w niedzielę jako sposób na zademonstrowanie luki bezpieczeństwa na Facebooku. Całkiem możliwe, że Chiuan chciał skorzystać z tej samej metody, która właśnie została odkryta.
źródło: niebezpiecznik.pl, chip.pl, instalki.pl, wirtualnemedia.pl
ja
© Artykuł jest chroniony prawem autorskim. Wykorzystanie tylko pod warunkiem podania linkującego źródła.
