Veľký bezpečnostný incident Facebooku, postihnuté desiatky miliónov účtov

Značky: Facebookbezpečnosť

DSL.sk, 1.10.2018

Najväčšiu službu sociálnych sietí Facebook postihol veľký bezpečnostný incident, pri ktorom útočníci vďaka chybám Facebooku získali dočasné prístupové údaje do desiatok miliónov účtov.

Využili pri tom chybu vo funkčnosti "View As", ktorá sa umožňuje užívateľovi pozrieť ako vyzerá jeho profil z pohľadu iného užívateľa. Podľa informácií Facebooku ale tri prítomné technické chyby umožnili, že služba za nejakých okolností chybne generovala nový tzv. prístupový token tohto iného užívateľa a sprístupnila ho v stránke užívateľovi.

Facebook o incidente informoval z piatka na sobotu.

Prístupový token je dlhodobý identifikátor, ktorým sa po prihlásení identifikuje prehliadač užívateľa alebo napríklad mobilné aplikácie Facebooku voči serverom Facebooku namiesto potreby opakovaného prihlasovania. Vygenerovaný token mal podľa spoločnosti oprávnenia mobilnej aplikácie Facebooku a umožnoval tak uskutočňovať rovnaké činnosti ako je to možné pomocou mobilnej aplikácie, vrátane okrem iného čítania správ, príspevkov a prispievania.

Chyby boli prítomné od júla 2017. Facebook incident detekoval v utorok 25. septembra po tom, ako začal v polovici mesiaca prešetrovať netypickú aktivitu.

Podľa jeho zistení útočníci získali prístupové tokeny pre 50 miliónov účtov, kedy sa tak stalo zatiaľ neavizoval. Rovnako Facebook neavizoval ako boli použité, podľa v piatok prezentovaných informácií to zatiaľ len prešetroval a prvotné informácie údajne podľa spoločnosti nepoukazovali na to, že by sa pomocou nich pristupovalo k správam a príspevkom užívateľov.

Facebook odstránil zraniteľnosť, zatiaľ zneprístupnil funkčnosť "View As" a pre postihnuté účty zrušil všetky platné prístupové tokeny. To znamená, že sa títo užívatelia museli alebo musia na všetkých zariadeniach znovu prihlásiť. Postihnutých užívateľov neupozornil zatiaľ emailom, informácia sa im zobrazí len po prihlásení v podobe notifikácie.

Okrem 50 miliónov účtov takéto opatrenia uskutočnil pre ďalších 40 miliónov účtov, u ktorých bolo použité "View As" odkedy tam boli prítomné chyby ale neboli terčom detekovaného incidentu. Tento krok označuje za preventívny.

Bližšie informácie je možné nájsť v oznámení Facebooku. Na viaceré otázky v uskutočnených tlačových konferenciách spoločnosť odpovedala ale pomerne vyhýbavo s odôvodnením na skorú fázu prešetrovania incidentu.




Najnovšie články:



Diskusia:

parada Od: kkm | Pridané: 1.10.2018 13:20 view ass Odpovedať Známka: 9.7 Hodnotiť:

Re: parada Od: lal | Pridané: 2.10.2018 12:57 benis agtivity detegted Odpovedať Známka: 10.0 Hodnotiť:

Pozdravuje vas Janka Od: Mark twejn | Pridané: 1.10.2018 13:25 View zucker Odpovedať Známka: 4.7 Hodnotiť:

Re: Pozdravuje vas Janka Od: Ahasver | Pridané: 1.10.2018 15:55 štvavá kampaň proti Bohom vyvolenému, ako vždy po tisíce rokov na starom kontinente Európy nasmerovaná proti pracovitým sľušným poctivým slizákom z radov židovsko_chazarskej lúze parazitov spoločnosti, ktorí v živote nikdy nič nevyprodukovali. Židácky zmrd sa nedelí priamou úmerou medzi svojich "vyvolených", v tom prípade na súdoch ak nepustí perie uletí, skape. Odpovedať Známka: -8.7 Hodnotiť:

Re: Pozdravuje vas Janka Od: MAJAK - neregistrovany | Pridané: 1.10.2018 18:40 je to priekazne prekazatelne? :-) Odpovedať Známka: 6.7 Hodnotiť:

Re: Pozdravuje vas Janka Od: ffdf | Pridané: 1.10.2018 20:13 samozrejme že nie je.. :-) Ahasver Ty sa kroť lebo "...pôjdeš do basy Ty sviňa" :-) ako môžeš takto nazývať našich židovských spoluobčanov??? Kopa z nich má rozumu viac ako desať našich "neprispôsobivých" spoluovčanov dokopy... Židia majú strašnú kopu Nobeloviek apod., to že kopú nie za kresťanov/gójov je už iná vec. Odpovedať Známka: -2.7 Hodnotiť:

Re: Pozdravuje vas Janka Od: lal | Pridané: 2.10.2018 13:00 nobelovku za mier maju aj pani ako obongo,arafat a al gore, velku vahu by som tomu neprikladal.. Odpovedať Známka: 2.0 Hodnotiť:

Re: Pozdravuje vas Janka Od: ffdf | Pridané: 2.10.2018 20:06 u tých troch samozrejme žiadnu...ale u tých čo to dostali za reálny výskum a niečo aj vyskúmali tam samozrejme áno Odpovedať Hodnotiť:

Re: Pozdravuje vas Janka Od: jaaaaaaaaaaaj | Pridané: 2.10.2018 17:20 Zakomplexovaný chudáčik??? Odpovedať Hodnotiť:

Re: Pozdravuje vas Janka Od: cicero hviezdoslav | Pridané: 5.10.2018 21:13 Marianko, to si ty? Neboli ta ruka od hajlovania? Stale ta trapia zle predstavy? Lieky nezaberaju? Odpovedať Hodnotiť:

faceblog Od: smajliky | Pridané: 1.10.2018 13:27 nemam faceblog, mna "nehekli" :) Odpovedať Známka: 3.3 Hodnotiť:

Re: faceblog Od: problém FB je | Pridané: 2.10.2018 9:59 ale možno hekli niekoho kto o tebe píše alebo zdiela fotky na ktorých si aj ty. Človek aby nosil masku a chodil kanálmi ak nechce byť na FB. Odpovedať Známka: 10.0 Hodnotiť:

Sbsjsh Od: Eishdvdi | Pridané: 1.10.2018 13:51 Aj keby som mal facebook, asi by som tam neriesil nic doverne. Ludia to robia? Odpovedať Známka: 6.8 Hodnotiť:

Re: Sbsjsh Od: Wjsvsjs | Pridané: 1.10.2018 13:53 Ale porno kolekcia tam mohla vzniknut dobra z privatnych albumov celebrit a jebavych zien ak tam nieco take existuje alebo z PM co posielali svojim napadnikom / "len tak na stiplavy chat" vaginy :P Odpovedať Známka: 7.3 Hodnotiť:

Re: Sbsjsh Od: Hroch_asdf | Pridané: 1.10.2018 17:03 The Frappening bol z Apple cloudu. Urcite take nieco na FB nebude. FB ma svoju povest s narabanim informacii pouzivatelov, ktoru ma samozrejme velmi zasluzenu a FB je vlastne len chat, propaganda a jeden velky blsak. Odpovedať Známka: -7.1 Hodnotiť:

Re: Sbsjsh Od: lal | Pridané: 2.10.2018 13:00 ludia nie, NPCcka ano Odpovedať Známka: 10.0 Hodnotiť:

..... Od: ytryr | Pridané: 1.10.2018 13:51 K comu je dobre x-faktorove overovanie, ked potom vymyslia tokeny, lebo uzivatela otravuje furt sa prihlasovat. Sme znovu na zaciatku. Uroven bezpecnosti sa rovna lenivosti cloveka(uzivatela/admina/developera/....) Odpovedať Známka: 4.8 Hodnotiť:

Re: ..... Od: jebe jebe jebe | Pridané: 1.10.2018 14:09 tokeny su v pohode, len musia byt nastavene aby expirovali, a nesmu uniknut. Odpovedať Známka: 6.2 Hodnotiť:

Re: ..... Od reg.: Pjetro de | Pridané: 1.10.2018 14:28 a ako dlho si predstavujes dobu expiracie? 15-30-60 min? 1-2-3-4-6-12-24 hod? 1-2-3 dni? 1-2-3 tyzdne? 1-2 mesiace? 1/4 - 1/2 - 1 rok? pretoze sice neexsituje konkretna a presne definovana ostra hranica, ale iste je, ze ak by to bolo prilis casto, ludi by to asi troska otravovalo s prihlasovanim ... Odpovedať Známka: -1.7 Hodnotiť:

Re: ..... Od: jebe jebe jebe | Pridané: 1.10.2018 15:49 ty si asi nikdy neimplementoval ziadnu autentifikaciu s tokenmi. Inak by si vedel ze existuje pojem "silent token renew" Odpovedať Známka: 3.3 Hodnotiť:

Re: ..... Od: oauth | Pridané: 1.10.2018 23:04 Alebo refresh token - zalezi od pouziteho flowu. Odpovedať Známka: 6.0 Hodnotiť:

Re: ..... Od reg.: lenkabe12 | Pridané: 2.10.2018 7:24 sliding expiration Odpovedať Známka: 3.3 Hodnotiť:

Re: ..... Od reg.: John D. Bill | Pridané: 1.10.2018 14:29 Tokeny su v pohode najma na utoky MITM Odpovedať Známka: 5.0 Hodnotiť:

Re: ..... Od: Borat | Pridané: 2.10.2018 10:03 Ja chcem tokeny na chaturbate.com :-):-P Odpovedať Známka: 5.0 Hodnotiť:

Re: ..... Od reg.: Pjetro de | Pridané: 1.10.2018 14:31 uz to pisem cele roky, dlheee roky rokuce: zivot sa hemzi nepriamymi umerami, kde sucin dvoch velicin je konstantny, resp. tvoria naklad na miskach rovnoramennych vah, tu su to: - user friendly feature @ comfort - security akonahle sa nieco zlepsi, to druhe sa zhorsi Odpovedať Známka: 0.9 Hodnotiť:

Re: ..... Od: syntaxterrorX. XX | Pridané: 1.10.2018 14:35 Ej veru, lepsie si je, ze by bezpecnost pouzivatelskych dat jednou z hlavnych priorit sluzby s povinnou registraciou mohla i nebyt, priekazne ani nepredstavovat. Odpovedať Známka: -2.9 Hodnotiť:

Re: ..... Od: Ghf g jg | Pridané: 1.10.2018 20:01 iáá Odpovedať Známka: -6.7 Hodnotiť:

ultraradikalny pragmatizmus Od: syntaxterrorX. XX | Pridané: 1.10.2018 20:09 Tu výberové konanie na menežérsku pozíciu skutočne priekazne neprebieha. Odpovedať Známka: 0.0 Hodnotiť:

Re: ultraradikalny pragmatizmus Od: ffdf | Pridané: 1.10.2018 20:18 tak to si ho presne klasifikoval...somára :-) Odpovedať Známka: 2.0 Hodnotiť:

x-faktorove overovanie Od: Dodko2 | Pridané: 1.10.2018 15:17 Už aj telefónne číslo na prihlásenie použije na reklamu https://bit.ly/2OTDI13 Odpovedať Známka: 10.0 Hodnotiť:

FB ucet zuckera Od: ktooosoom | Pridané: 1.10.2018 15:48 Ako dopadlo nedelnajsie hackovanie / vymazanie Zuckerovho uctu na fb? Hackeri z toho mali vysielat live stream. Odpovedať Známka: 10.0 Hodnotiť:

Re: FB ucet zuckera Od: Mxxl | Pridané: 1.10.2018 17:41 čo ja viem, tak mal rušiť jeho FB stránku a vraj to zrušil a nahlásil chybu facebooku. Že zverejní dôkaz keď mu facebook vyplatí "bounty". Odpovedať Známka: 10.0 Hodnotiť:

/dev/ka Od: futurológ | Pridané: 1.10.2018 16:25 EU podme - GDPR a pokuta 1 000 000 eur za kazdy ucet !!! Odpovedať Známka: 6.8 Hodnotiť:

-------------- Od: ParaNoik | Pridané: 1.10.2018 19:27 Vitajte vo svete cloudu. Odpovedať Známka: -5.0 Hodnotiť:

Re: -------------- Od: 46456645456 | Pridané: 2.10.2018 10:33 ako ta chyba suvisi s cloudom? Odpovedať Známka: 5.0 Hodnotiť:

Konšpiračné teórie Od reg.: Elek3KAR | Pridané: 2.10.2018 0:13 Zdravím. Aký máte názor na službu Google Fotky a teda celkovo, ukladanie fotiek a videa niekam do cloudu. Ako záloha fotiek zdarma, kdekoľvek, nonstop na akomkoľvek zariadení je fajn predstava. Len ja mám trochu obavy. Najmä ohľadom možného zneužitia mojich fotiek, bezpečnosti pred možným únikom týchto súkromných dát, analýzou fotiek a videa samotnou spoločnosťou Google za pomoci strojového učenia / umelej inteligencie pre lepšie cielenú reklamu? Odpovedať Známka: 10.0 Hodnotiť:

Re: Konšpiračné teórie Od reg.: Elek3KAR | Pridané: 2.10.2018 0:14 Pre možné, spolupracovanie s bezpečnostnými službami, v prípade podozrenia?? Nedávno som zálohoval niekolko fotografií a videí do služby Google fotky a celkom ma prekvapilo, ako si to zanalizovalo fotky a videá z jedného dňa a vytvorilo mi to samo od seba zostrih zaujímavých udalosti z daného dňa podľa akéhosi algoritmu, na strane serveru. Ďalej, analyzovanie a kategorizovanie obsahu z fotografií, údajov exif, (čas dátum GPS).. Fotku si dokážem vyhľadať podľa ročného obdobia, miesta, tváre človeka (ak som daného človeka systému už priradil), obsahu na fotografii. Veď to je šialene :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Konšpiračné teórie Od: jebe jebe jebe | Pridané: 2.10.2018 2:05 Nepouzivaj cloud. Cloud je zlo. Cloud znamená že niesi pánom svojich dát. Niekto iný má nad tebou kontrolu. Radšej si nastav synchronizáciu dát medzi svojimi zariadeniami. Mobil, PC, NAS... Odpovedať Známka: 10.0 Hodnotiť:

Konšpiračná praks Od: syntaxterrorX. XX | Pridané: 2.10.2018 6:33 Byť pánom svojich dát či pánom svojho času... to je otázka... Odpovedať Známka: 6.0 Hodnotiť:

Re: Konšpiračné teórie Od: Makovnik | Pridané: 2.10.2018 9:02 jj, odporucam NextCloud. Rozbehas v pohode na Raspberry a ma desktopovu aj mobilnu sync app. Samozrejme to na Raspberry nedosahuje rychlost dropboxu, ale pouzivam ho asi pol roka a zatial v pohode. Alebo ak by si mal vyssi budget, rozbehaj to na slusnom zeleze a na nejake korporatne cloudy, na ktorych akurat trenuju svoje UI si ani nespomenies. Odpovedať Hodnotiť:

Re: Konšpiračné teórie Od reg.: Elek3KAR | Pridané: 2.10.2018 11:30 Vďaka za tip. Ten NextCloud vyzerá ako fajn alternatíva k mojim potrebám prístupu k starším dátam. Syntaxterror, zaujímavá, až rozumná myšlienka. Bolelo to? Jebe jebe jebe, pánom svojich dát som Ja, až do smrti. Ale co potom... Odpovedať Hodnotiť:

Re: Konšpiračné teórie Od reg.: tomibojko | Pridané: 2.10.2018 11:24 zakladne pravidlo, pokladaj vsetko co nahras do cloudu ako verejne ja google photos pouzivam rad, ale nikdy by som tam nenahral fotky ktore by mi vadili ak by sa stali verejne, niekto ich ukradol atd Odpovedať Hodnotiť:

Trh s osobnými dátami Od: Potatopus | Pridané: 2.10.2018 6:58 Vtipné ako Zuck predáva súkromné dáta roky, ale keď si ich niekto zoberie bez platenia sú z toho všetci mimo. Nie je to len predaj dát tretej strane ktorý je maskovaný ako bezpečnostný incident? Dávalo by to zmysel po všetkých tých nedávnych incidentoch okolo Facebooku. Odpovedať Známka: 7.5 Hodnotiť:

Fb oook Od: Ahatu | Pridané: 2.10.2018 8:16 A ja sa čudoval prečo ma vyhodilo z fb, čas zrušiť účet Odpovedať Známka: 10.0 Hodnotiť:

Re: Fb oook Od: 77565875487 | Pridané: 2.10.2018 14:59 Tak prajem veľa zábavy. Zrušiť účet na FB je celkom dobrá - a minimálne 30 dní trvajúca - zábava. Zrušiť ho hneď je nemožné. Tých 30 dní ponúkajú ako možnosť vrátiť sa k svojej dennej dávke voyerizmu. Odpovedať Známka: 10.0 Hodnotiť:

Podakovanie Od: NSA | Pridané: 4.10.2018 9:22 Agentura NSA ďakuje panovi Zuckenberkovi za plodnú spolupracu a najma o stalu aktualizáciu zadných dvierok aby sme mohli spoločne bojovať proti "terorizmu". Best regards: NSA team Odpovedať Hodnotiť:

detegoval, detegovaného Od: ch. | Pridané: 5.10.2018 10:01 detegoval,detegovaného Odpovedať Hodnotiť:

Pridať komentár