Во петокот Facebook истовремено одлогира 90 милиони корисници. Не станува збор за вежба, туку за реакција на напад кој ги загрози податоците на 50 милиони корисници. Податоците на 50 милиони корисници со сигурност се зафатени во нападот, а уште 40 милиони од исклучените биле подложни на истиот.
Безбедносен пропуст на Facebook им овозможи на напаѓачи да дојдат до контрола на над 50 милиони на профили на корисници. Facebook објави дека пропустот е надминат, но се појавија вести дека проблемот можеби е и поголем отколку што првично се најавуваше.
Портпаролот на Facebook излезе и соопшти дека напаѓачот можеби имал пристап и до куп други сервиси и апликации преку Facebook Login. За среќа, ова не се однесува на сите апликации кои го користат токенот за логирање и зависи од начинот на кои платформите го користат токенот. Сепак Facebook го направи токенот за логирање на овие сервиси невалиден.
Добра вест е дека со ресетирањето на токените кое го направи Facebook, оваа врска е прекината за надворешните апликации. Ако тоа е добра вест, лошата е дека за Instagram и Oculus корисникот треба самиот да ги „откачи“ и повторно да ја активира Facebook Login за овие платформи.
Како напаѓачите дојдоа до пристап до Facebook профилите?
Напаѓачот или напаѓачите, всушнот не ги украле лозинките на корисниците. Наместо ова дошле до лозинката преку „крадење“ на токени за пристап. Токените на корисниците им овозможуваат автоматски да се логираат на пример на телефон, ако се логирани на лаптоп, објасни Slate.
„Нападот користи комплексна интеракција и повеќе пропусти во нашиот код. Потекнува од промените кои ги направивме за качување на видео во јули 2017, која ја промени View As – функционлноста. Напаѓачите не само што требале да го пронајдат пропустот за да дојдат до токенот, туку требале и да пивотираат околу овој профил за да украдат уште токени“, објасни Facebook.
За нападот се искористени 3 пропусти:
- Првиот им овозможува на корисниците да видат како нивниот профил изгледа кога го гледа некој друг. View As треба да биде интерфјес кој единствено нуди прегледи, но ова не е случај и им овозможува на луѓето да качат видео.
- Вториот пропуст овозможува генерирање на токен кога некој качува видео.
- Конечно, третиот пропуст овозможува кога некој ќе качи видео да генерира токен кој ќе биде како да е корисникот чиј ѕид го гледа.
Овој токен е достапен во HTML кодот на страницата и напаѓачот можел да го користи да се логира како жртвата.
Напаѓачот можел да види сè на профилот на корисникот, иако можеби пораките не се дел од ова „сè“.
Како да знате дали сте биле зафатени со нападот?
Профилите на корисниците кои се дел од нападот, добија известување. Вообичаената порака „Вашата безбедност ни значи…“ и дополнително известување на неодамнешниот пропуст.