Facebookin (NASDAQ: FB) insinöörien 25. syyskuuta havaitsema turvallisuusrikkomus antoi hyökkääjille mahdollisuuden hallita suoraan käyttäjätilejä; noin 50 miljoonaa heistä on täsmällisiä.
Viimeisin Facebook-tietoturva rikkoo
Lisäksi 50 miljoonaa, Facebook sanoi myös, että oli vielä 40 miljoonaa tiliä, jotka olivat mahdollisesti haavoittuvia. Kaikki sanoi, että yhtiö kirjautui ulos 90 miljoonasta tileistä, jotta vältetään lisävahingot.
$config[code] not foundTietoturvapäivityksessä Facebook myönsi, että hyökkäys pystyi hyödyntämään koodin monien ongelmien monimutkaista vuorovaikutusta. Tämä syntyi muutoksesta, jonka yritys teki videolähetysominaisuudestaan heinäkuussa 2017, joka vaikutti View As -ominaisuuteen.
Facebook sanoi: ”Hyökkääjät eivät vain tarvitse löytää tätä haavoittuvuutta ja käyttää sitä saadakseen pääsymerkin, sitten heidän piti kääntyä tältä tililtä muille varastaa lisää merkkejä.”
Tämä hyökkäys ei olisi voinut tulla huonompaan aikaan Facebookiin. Yhtiö pyrkii turvautumaan turvallisuuteensa ennen tulevia vaalikauden vaaleja ja samalla yrittäen toipua Cambridge Analytica fiaskosta, jossa noin 87 miljoonan käyttäjän tiedot jaettiin poliittisen konsultointitoimiston kanssa.
Näkymä ominaisuutena
View As -ominaisuuden avulla käyttäjät voivat nähdä, miten profiili näyttää muilta ihmisiltä.
Hyökkääjät pystyivät hyödyntämään kolmea vikaa tai vikaa ”View As” -toiminnossa. Samassa tietoturvapäivityksessä insinööri-, turvallisuus- ja tietosuojajohtaja Pedro Canahuati mainitsi nämä puutteet seuraavasti:
- Näytä Koska virheellisesti annettiin mahdollisuus lähettää video.
- Heinäkuussa 2017 käyttöön otettu uusi videonlatausversio (käyttöliittymä, joka esitettäisiin ensimmäisen virheen seurauksena) tuotti väärin käyttöoikeusmerkin, jolla oli Facebook-mobiilisovelluksen käyttöoikeudet.
- Kun videon lataaja ilmestyi osana View As -ohjelmaa, se loi EI-tunnuksen katsojalle, mutta käyttäjälle, jota katsoja etsii.
Facebook sanoi, että se on sammuttanut View As -ominaisuuden väliaikaisesti, kun se suorittaa tietoturvapäivityksen.
Tricking Facebook -palvelun käyttöoikeustunnuksille
Tämän haavoittuvuuden vuoksi hyökkääjät pystyivät huijaamaan Facebookia antamaan heille pääsymerkkejä. Tämä antoi heille mahdollisuuden käyttää käyttäjätilejä ikään kuin ne olisivat käyttäjiä.
Heillä oli myös pääsy palveluihin, jotka käyttäjä on voinut rekisteröityä Facebookin käyttöön, kuten Airbnb, Spotify, Tinder tai muut sovellukset ja pelit.
Facebook on palauttanut 50 miljoonan tilin käyttöoikeusmerkit sekä muut 40 miljoonaa tiliä, jotka saattavat olla haavoittuvia.
Jos tilisi oli yksi 90 miljoonasta, jota tämä tapahtuma vaikutti, sinua kehotetaan kirjautumaan uudelleen Facebookiin ja niihin liittyviin tileihin.
Kuka on vastuussa?
Konferenssipuhelussa (PDF) Guy Rosen, Facebookin tuotehallinnan johtaja, sanoi, että yritys on ilmoittanut lainvalvonnasta ja työskentelee FBI: n kanssa.
Kuka on vastuussa, Rosen sanoo, että on vaikea havaita, kuka hyökkäyksen takana oli, lisäämällä "Emme ehkä koskaan tiedä."
Kuva: Facebook
3 Kommentit ▼
