„Facebook“ (NASDAQ: FB) inžinierių aptiktas saugumo pažeidimas rugsėjo 25 d. Leido užpuolikams tiesiogiai kontroliuoti vartotojų sąskaitas; apie 50 mln.
Paskutinis „Facebook“ saugumo pažeidimas
Be 50 mln. „Facebook“ taip pat sakė, kad dar 40 mln. Visi sakė, kad bendrovė užregistravo 90 mln.
$config[code] not foundAtnaujindamas „Facebook“, „Facebook“ pripažino, kad užpuolimas sugebėjo išnaudoti sudėtingą daugelio klausimų sąveiką savo kode. Tai įvyko dėl to, kad kompanija 2017 m. Liepos mėn. Pakeitė vaizdo įrašo įkėlimo funkciją, kuri paveikė „View As“ funkciją.
„Facebook“ pasakė: „Užpuolikai ne tik turi rasti šį pažeidžiamumą ir naudoti jį, kad gautų prieigos raktą, tada jie turėjo pasukti nuo tos paskyros kitiems, kad pavogtų daugiau žetonų.“
Šis užpuolimas „Facebook“ negalėtų būti blogesnis. Bendrovė stengiasi sustiprinti savo saugumą iki artimiausio laikotarpio vidurio rinkimų, tuo pačiu metu bandydama susigrąžinti iš Cambridge Analytica fiasko, kuriame apie 87 mln.
Vaizdas kaip funkcija
Naudojant funkciją „Vaizdas kaip“, naudotojai gali matyti, kaip profilis atrodo kitiems žmonėms.
„View As“ funkcijoje atakuotojai galėjo išnaudoti tris trūkumus ar klaidas. Tame pačiame saugos naujinime Pedro Canahuati, Inžinerijos, saugumo ir privatumo viceprezidentas išvardijo šiuos trūkumus:
- Peržiūrėti Kaip neteisingai suteikta galimybė paskelbti vaizdo įrašą.
- Nauja vaizdo įrašo įkėlimo versija (sąsaja, kuri bus pateikta po pirmojo klaidos), pristatyta 2017 m. Liepos mėn., Neteisingai generavo prieigos raktą, turintį „Facebook“ mobiliųjų programų leidimus.
- Kai vaizdo įrašo įkėlėjas pasirodė kaip „View As“ dalis, jis sukūrė prieigos raktą NE žiūrovui, bet naudotojui, kurį žiūrovas ieškojo.
„Facebook“ sakė, kad ji laikinai išjungė vaizdą „View As“, kol ji atlieka saugumo peržiūrą.
„Facebook“ nukreipimas į leidimo prieigos raktus
Naudojant šį pažeidžiamumą, užpuolikai galėjo apgauti „Facebook“, leidžiantys juos naudoti. Tai suteikė jiems prieigą prie naudotojų paskyrų, tarsi jie būtų vartotojas.
Jie taip pat turėjo prieigą prie paslaugų, kurias vartotojas galėjo užsiregistruoti naudodamasis „Facebook“, pvz., „Airbnb“, „Spotify“, „Tinder“ ar kitas programas ir žaidimus.
„Facebook“ iš naujo nustatė 50 milijonų sąskaitų, kurios buvo paveiktos, prieigos raktus, taip pat papildomas 40 mln. Paskyrų, kurios galėjo būti pažeidžiamos.
Jei paskyra buvo viena iš 90 milijonų, kuriuos paveikė šis incidentas, būsite paraginti iš naujo prisijungti prie „Facebook“ ir bet kokias susietas paskyras.
Kas yra atsakingas?
Konferencijos pokalbyje (PDF) „Facebook“ produkto valdymo viceprezidentas Guy Rosenas sakė, kad bendrovė pranešė teisėsaugai ir dirba su FBI.
Kalbėdamas apie tai, kas yra atsakingas, Rosenas teigia, kad sunku atrasti, kas užpuolė užpuolimą, pridėdamas „Mes niekada negalime žinoti“.
Vaizdas: „Facebook“
3 Pastabos ▼