Facebook z ogromnym problemem. Zagrożone dane 90 mln użytkowników
Mark Zuckerberg nie może liczyć na spokojny weekend. Szef Facebooka musi zmierzyć się z kolejnym problemem – na jego portalu pojawiła się ogromna dziura, przez którą 50 mln kont użytkowników zostało zaatakowanych i ktoś pobrał ich wszystkie dane.
Jeśli wczoraj wieczorem zostaliście zmuszeni do niespodziewanego zalogowania się na Facebooka, to prawdopodobnie ktoś wykorzystał dziurę w zabezpieczeniach znanego portalu społecznościowego i otrzymał Wasze wszystkie prywatne dane.
Nie było istotne z jakiego hasła korzystacie, a nawet czy posiadacie dwuetapowe uwierzytelnianie, ponieważ atakujący wykorzystali lukę w zabezpieczeniach Facebooka. Okazało się, że inżynierowie nie zajęli się w odpowiedni sposób funkcją „Wyświetl jako”, która pozwala na sprawdzenie, jak Twój profil jest widziany przez innych użytkowników. To właśnie w tym miejscu pojawił się błąd, który pozwalał wykraść token sesji i następnie zainteresowany otrzymywał kontrolę nad cudzym kontem. Użytkownik dostawał w swoje ręce „cyfrowy klucz”, dzięki któremu Facebook oraz przeglądarki internetowe wykorzystują do automatycznego logowania i dzięki temu nikt nie potrzebował hasła.
Mark Zuckerberg potwierdził wykorzystanie w sumie trzech błędów – jeden z nich pojawiał się w funkcji „Wyświetl jako”, ale tylko w momencie, gdy użytkownik posiadał specjalny post, przykładowo zachęcał innych do składani u niego życzeń urodzinowych. To właśnie tego skryptu nie zabezpieczono i niektórzy mogli wyciągnąć token sesji.
Dziura została wprowadzona przez twórców portalu w ubiegłym roku – gdy dodawali opcję wgrywania wideo – ale Facebook odkrył problem dopiero 25 września 2018 roku. Wczoraj wieczorem zdecydowano się na zresetowanie kont 50 mln użytkowników dotkniętych atakiem, a jednocześnie kolejne 40 mln klientów również zostało zmuszonych do ponownego zalogowania – na tych kontach w ostatnim roku użyto funkcji „Wyświetl jako”. W rezultacie nie możemy tak naprawdę powiedzieć, czy jeśli musieliśmy się wczoraj zalogować, to czy nasze dane zostały pobrane.
Należy jednocześnie zaznaczyć – zmiana hasła nic tutaj nie da, bo atakujący nie otrzymali do nich dostępu. Masowy atak został wykonany dzięki tokenowi sesji, a osoby zainteresowane pobrały w ten sposób przykładowo nasze adresy e-mail, numery telefonów, czy też wszystkie osobiste dane... A jak wiadomo takie informacje są w dzisiejszych czasach niezwykle cenne.
