Η παραβίαση ασφαλείας που ανακαλύφθηκε από τους μηχανικούς του Facebook (NASDAQ: FB) στις 25 Σεπτεμβρίου επέτρεψε στους επιτιθέμενους να αποκτήσουν άμεσο έλεγχο στους λογαριασμούς χρηστών. περίπου 50 εκατομμύρια από αυτά να είναι ακριβή.
Η τελευταία παραβίαση ασφαλείας του Facebook
Εκτός από τα 50 εκατομμύρια, το Facebook είπε επίσης ότι υπήρχαν ακόμη 40 εκατομμύρια λογαριασμοί οι οποίοι ήταν δυνητικά ευάλωτοι. Όλοι είπαν ότι η εταιρεία αποσύρθηκε από 90 εκατομμύρια λογαριασμούς για να αποφύγει περαιτέρω ζημιές.
$config[code] not foundΣε μια ενημερωμένη έκδοση ασφαλείας, το Facebook παραδέχθηκε ότι η επίθεση ήταν σε θέση να εκμεταλλευτεί τη σύνθετη αλληλεπίδραση πολλαπλών ζητημάτων στον κώδικα της. Αυτό προέκυψε από την αλλαγή που έκανε η εταιρεία στη λειτουργία μεταφόρτωσης βίντεο τον Ιούλιο του 2017 που επηρέασε τη λειτουργία "Προβολή ως".
Το Facebook δήλωσε: "Οι επιτιθέμενοι δεν χρειάστηκαν μόνο να βρουν αυτό το τρωτό σημείο και να το χρησιμοποιήσουν για να αποκτήσουν ένα αναγνωριστικό πρόσβασης, τότε έπρεπε να στραφούν από αυτόν το λογαριασμό σε άλλους για να κλέψουν περισσότερα μάρκες".
Αυτή η επίθεση δεν θα μπορούσε να έρθει σε χειρότερη στιγμή για το Facebook. Η εταιρεία προσπαθεί να επιταχύνει την ασφάλειά της πριν από τις επερχόμενες ενδιάμεσες εκλογές ενώ παράλληλα προσπαθεί να ανακάμψει από το φιάσκο Cambridge Analytica, στο οποίο μοιράστηκαν δεδομένα από περίπου 87 εκατομμύρια χρήστες με μια πολιτική συμβουλευτική υπηρεσία.
Η προβολή ως χαρακτηριστικό
Η λειτουργία Προβολή ως επιτρέπει στους χρήστες να δουν πώς φαίνεται ένα προφίλ σε άλλα άτομα.
Οι επιτιθέμενοι μπόρεσαν να εκμεταλλευτούν τρία ελαττώματα ή σφάλματα στη λειτουργία "Προβολή ως". Στην ίδια ενημερωμένη έκδοση ασφαλείας, ο Pedro Canahuati, Αντιπρόεδρος της Μηχανικής, Ασφάλειας και Προστασίας Προσωπικών Δεδομένων, περιέγραψε τα παρακάτω ελαττώματα ως εξής:
- Προβολή Ως λανθασμένη παροχή της δυνατότητας να δημοσιεύσετε ένα βίντεο.
- Μια νέα έκδοση του προγράμματος μεταφόρτωσης βίντεο (η διασύνδεση που θα παρουσιαζόταν ως αποτέλεσμα του πρώτου σφάλματος), που εισήχθη τον Ιούλιο του 2017, δημιούργησε εσφαλμένα ένα διακριτικό πρόσβασης που είχε τα δικαιώματα της εφαρμογής για κινητά του Facebook.
- Όταν το πρόγραμμα μεταφόρτωσης βίντεο εμφανίστηκε ως μέρος του View As, δημιούργησε το διακριτικό πρόσβασης NOT για τον θεατή, αλλά για το χρήστη ο θεατής έψαχνε προς τα πάνω.
Το Facebook είπε ότι έχει απενεργοποιήσει προσωρινά τη λειτουργία Προβολή ως, ενώ κάνει μια επισκόπηση ασφαλείας.
Δίνοντας το Facebook να εκδώσει τα δώρα πρόσβασης
Με αυτήν την ευπάθεια, οι επιτιθέμενοι μπόρεσαν να εξαπατήσουν το Facebook για να τους εκδώσουν μάρκες πρόσβασης. Αυτό τους έδωσε πρόσβαση στους λογαριασμούς χρηστών σαν να ήταν οι χρήστες.
Είχαν επίσης πρόσβαση σε υπηρεσίες που ο χρήστης μπορεί να έχει εγγραφεί για χρήση του Facebook όπως Airbnb, Spotify, Tinder ή άλλες εφαρμογές και παιχνίδια.
Το Facebook έχει επαναφέρει τις μάρκες πρόσβασης των 50 εκατομμυρίων λογαριασμών που επηρεάστηκαν καθώς και τους επιπλέον 40 εκατομμύρια λογαριασμούς που ίσως ήταν ευάλωτοι.
Αν ο λογαριασμός σας ήταν ένα από τα 90 εκατομμύρια που επηρεάστηκαν από αυτό το συμβάν, θα σας ζητηθεί να κάνετε ξανά σύνδεση στο Facebook και σε οποιονδήποτε συνδεδεμένους λογαριασμούς.
Ποιος είναι υπεύθυνος?
Σε μια τηλεδιάσκεψη (PDF) Ο Guy Rosen, Αντιπρόεδρος της Διαχείρισης Προϊόντων για το Facebook δήλωσε ότι η εταιρεία έχει ειδοποιήσει την επιβολή του νόμου και συνεργάζεται με το FBI.
Όσον αφορά το ποιος είναι υπεύθυνος, ο Ρόζεν συνεχίζει να λέει ότι είναι δύσκολο να ανακαλύψει ποιος ήταν πίσω από την επίθεση, προσθέτοντας: «Μπορεί να μην γνωρίζουμε ποτέ».
Εικόνα: Facebook
3 Σχόλια ▼