Drošības pārkāpums, ko Facebook (NASDAQ: FB) inženieri atklāja 25. septembrī, ļāva uzbrucējiem tieši kontrolēt lietotāju kontus; aptuveni 50 miljoni no tiem ir precīzi.
Jaunākais Facebook drošības pārkāpums
Papildus 50 miljoniem Facebook arī teica, ka vēl 40 miljoni kontu bija potenciāli neaizsargāti. Visi minēja, ka uzņēmums izslēdza 90 miljonus kontu, lai novērstu turpmāku kaitējumu.
$config[code] not foundDrošības atjauninājumā Facebook atzina, ka uzbrukums varēja izmantot vairāku jautājumu sarežģīto mijiedarbību savā kodā. Tas notika, pateicoties uzņēmuma maiņai uz video augšupielādes funkciju 2017. gada jūlijā, kas ietekmēja funkciju “Skatīt kā”.
Facebook teica: „Uzbrucējiem ne tikai vajadzēja atrast šo neaizsargātību un izmantot to, lai iegūtu piekļuves marķējumu, bet pēc tam tiem bija jāgriežas no šī konta uz citiem, lai nozagtu vairāk žetonu.”
Šis uzbrukums nevarēja būt sliktāks laiks Facebook. Uzņēmums cenšas nostiprināt savu drošību pirms gaidāmajām vidusposma vēlēšanām, tajā pašā laikā cenšoties atgūt no Kembridžas Analytica fiasko, kurā dati par aptuveni 87 miljoniem lietotāju tika dalīti ar politisko konsultāciju aģentūru.
Skats kā iezīme
Funkcija Skatīt kā ļauj lietotājiem redzēt, kā profils skatās uz citiem cilvēkiem.
Uzbrucēji varēja izmantot trīs kļūdas vai kļūdas funkcijā „Skatīt kā”. Tajā pašā drošības atjauninājumā Pedro Canahuati, Inženierzinātņu, drošības un privātuma viceprezidents minēja šādus trūkumus:
- Skatīt Kā nepareizi sniegta iespēja ievietot videoklipu.
- Jaunā video augšupielādētāja versija (saskarne, kas tiks parādīta pirmās kļūdas rezultātā), kas tika ieviesta 2017. gada jūlijā, nepareizi radīja piekļuves pilnvaru, kurai bija Facebook mobilās lietotnes atļaujas.
- Kad video augšupielādētājs parādījās kā daļa no View As, tas radīja piekļuves marķieri NAV skatītājam, bet lietotājam, kuru skatītājs meklēja.
Facebook teica, ka tā ir īslaicīgi izslēgta skata funkcija, kamēr tā veic drošības pārskatu.
Tricking Facebook, lai izsniegtu piekļuves žetonus
Izmantojot šo ievainojamību, uzbrucēji varēja triks Facebook, lai tie varētu izsniegt piekļuves žetonus. Tas deva viņiem piekļuvi lietotāju kontiem, it kā viņi būtu lietotāji.
Viņiem bija arī piekļuve pakalpojumiem, ko lietotājs varētu reģistrēt, lai izmantotu Facebook, piemēram, Airbnb, Spotify, Tinder vai citas lietotnes un spēles.
Facebook ir atiestatījis piekļuves marķējumus no 50 miljoniem kontu, kas tika ietekmēti, kā arī papildu 40 miljonus kontu, kas varētu būt neaizsargāti.
Ja jūsu konts bija viens no 90 miljoniem, ko skāris šis negadījums, jums tiks piedāvāts atkārtoti pieteikties Facebook un jebkādus saistītos kontus.
Kas ir atbildīgs?
Konferences zvanā (PDF) Guy Rosen, Facebook produktu pārvaldības vadības viceprezidents, paziņoja, ka uzņēmums ir paziņojis tiesībaizsardzības iestādēm un strādā ar FBI.
Runājot par to, kurš ir atbildīgs, Rozens turpina teikt, ka ir grūti atklāt, kas bija aiz uzbrukuma, pievienojot „Mēs nekad nezinām.”
Attēls: Facebook
3 Piezīmes ▼