Кршење сигурности које су инжењери Фацебоока (НАСДАК: ФБ) открили 25. септембра омогућили су нападачима да преузму директну контролу над корисничким рачунима; око 50 милиона њих је тачно.
Латест Фацебоок Сецурити Бреацх
Поред 50 милиона, Фацебоок је такође рекао да има још 40 милиона рачуна који су потенцијално угрожени. Све наведено, компанија је одјавила 90 милиона рачуна како би спријечила даљњу штету.
$config[code] not foundУ сигурносном ажурирању, Фацебоок је признао да је напад успео да искористи комплексну интеракцију вишеструких проблема у свом коду. Ово је настало услед промена које је компанија направила у својој функцији за отпремање видео записа у јулу 2017. године, што је утицало на функцију "Поглед као".
Фацебоок је рекао: "Нападачи нису само морали да пронађу ову рањивост и да је користе да би добили приступни токен, него су морали да се окрену са тог рачуна на друге да би украли више токена."
Овај напад није могао доћи у најгоре вријеме за Фацебоок. Компанија покушава да повећа своју безбедност пре предстојећих средњорочних избора, док истовремено покушава да се опорави од фијаска Кембриџ Аналитике у којем су подаци од око 87 милиона корисника подељени са агенцијом за политичко саветовање.
Тхе Виев Ас Феатуре
Функција "Прикажи као" омогућава корисницима да виде како други профил изгледа.
Нападачи су могли да искористе три грешке или грешке у “Виев Ас” функцији. У истом сигурносном ажурирању, Педро Цанахуати, потпредсједник за инжењерство, сигурност и приватност, навео је те недостатке на сљедећи начин:
- Приказ Као погрешно је пружена прилика за постављање видеа.
- Нова верзија видео клипера (интерфејс који ће бити представљен као резултат прве грешке), уведен у јулу 2017. године, погрешно је генерисао приступни токен који је имао дозволе за Фацебоок мобилну апликацију.
- Када се видео уплоадер појавио као део Виев ас, он је генерисао приступни токен НОТ за гледаоца, али за корисника који је гледалац гледао горе.
Фацебоок је саопштио да је привремено искључио функцију Виев Ас док је извршио безбедносни преглед.
Трицкинг Фацебоок да издаје приступне жетоне
Уз ову рањивост, нападачи су успели да превари Фацебоок-а да им издају токене за приступ. Ово им је омогућило приступ корисничким рачунима као да су корисници.
Такође су имали приступ услугама које је корисник могао да региструје за коришћење Фацебоока као што су Аирбнб, Спотифи, Тиндер или друге апликације и игре.
Фацебоок је ресетовао приступне токене од 50 милиона рачуна који су били погођени, као и додатних 40 милиона рачуна који су можда били рањиви.
Ако је ваш рачун био један од 90 милиона који су погођени овим инцидентом, од вас ће бити затражено да се поново пријавите на Фацебоок и све повезане налоге.
Ко је одговоран?
У конференцијском позиву (ПДФ) Гуи Росен, потпредсједник за управљање производима за Фацебоок, изјавио је да је компанија обавијестила полицијске службенике и да ради са ФБИ.
А ко је одговоран, Росен каже да је тешко открити ко стоји иза напада, додајући: "Можда никада нећемо сазнати."
Слика: Фацебоок
3 Цомментс ▼
