Sikkerhedsbruddet, som blev opdaget af Facebook (NASDAQ: FB) ingeniører den 25. september, gjorde det muligt for angriberne at tage direkte kontrol over brugerkonti. omkring 50 millioner af dem er nøjagtige.
Det seneste Facebook-sikkerhedsbrud
Ud over de 50 millioner sagde Facebook også, at der var yderligere 40 millioner konti, som var potentielt sårbare. Alle sagde, selskabet logget ud 90 millioner konti for at forhindre yderligere skade.
$config[code] not foundI en sikkerhedsopdatering indrømmede Facebook, at angrebet kunne udnytte det komplekse samspil mellem flere problemer i sin kode. Dette skyldtes en ændring, virksomheden gjorde til sin videooploadningsfunktion i juli 2017, der påvirker "View As" -funktionen.
Facebook sagde: "Angrebsmændene behøvede ikke kun at finde denne sårbarhed og bruge den til at få adgangstoken, de måtte derefter svinge fra den konto til andre for at stjæle flere tokens."
Dette angreb kunne ikke have været på en værre tid for Facebook. Virksomheden forsøger at sikre sin sikkerhed inden de kommende valg på mellemlang sigt, samtidig med at man forsøger at komme sig fra Cambridge Analytica-fiaskoen, hvor data fra ca. 87 millioner brugere blev delt med et politisk konsulentbureau.
Visningen som funktion
Funktionen View As giver brugerne mulighed for at se, hvordan en profil ser ud til andre mennesker.
Angriberne kunne udnytte tre fejl eller fejl i "View As" -funktionen. I samme sikkerhedsopdatering oplyste Pedro Canahuati, vicepræsident for teknik, sikkerhed og privatliv, disse fejl som følger:
- Vis som fejlagtigt givet mulighed for at indsende en video.
- En ny version af videooploaderen (den grænseflade, der ville blive præsenteret som følge af den første fejl), der blev introduceret i juli 2017, genererede ukorrekt et adgangstoken, der havde tilladelserne fra Facebook mobile app.
- Når videooploaderen optrådte som en del af View As, genererede den adgangstoken IKKE for seeren, men for brugeren kiggede seeren op.
Facebook sagde, at den har slukket funktionen View As midlertidigt, mens den foretager en sikkerhedsanmeldelse.
Tricking Facebook til Issue Access Tokens
Med denne sårbarhed kunne angriberne narre Facebook til at udstede dem adgangstokener. Dette gav dem adgang til brugerkonti som om de var brugeren.
De havde også adgang til tjenester, som brugeren måske har registreret for at bruge Facebook som f.eks. Airbnb, Spotify, Tinder eller andre apps og spil.
Facebook har nulstillet adgangsbonetterne for de 50 millioner konti, der blev ramt, samt de yderligere 40 millioner konti, der kunne have været sårbare.
Hvis din konto var en af de 90 millioner, der er berørt af denne hændelse, bliver du bedt om at logge ind på Facebook og eventuelle tilknyttede konti.
Hvem er ansvarlig?
I et konferenceopkald (PDF) Guy Rosen, Vice President for Product Management for Facebook, sagde selskabet har meddelt retshåndhævelse og arbejder med FBI.
Hvad angår hvem der er ansvarlig, fortsætter Rosen med at sige, at det er svært at opdage, hvem der var bag angrebet, og tilføjede "Vi kan aldrig vide".
Billede: Facebook
3 kommentarer ▼
