neprihlásený Pondelok, 22. apríla 2019, dnes má meniny Slavomír   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Veľký bezpečnostný incident Facebooku, postihnuté desiatky miliónov účtov

Značky: Facebookbezpečnosť

DSL.sk, 1.10.2018


Najväčšiu službu sociálnych sietí Facebook postihol veľký bezpečnostný incident, pri ktorom útočníci vďaka chybám Facebooku získali dočasné prístupové údaje do desiatok miliónov účtov.

Využili pri tom chybu vo funkčnosti "View As", ktorá sa umožňuje užívateľovi pozrieť ako vyzerá jeho profil z pohľadu iného užívateľa. Podľa informácií Facebooku ale tri prítomné technické chyby umožnili, že služba za nejakých okolností chybne generovala nový tzv. prístupový token tohto iného užívateľa a sprístupnila ho v stránke užívateľovi.

Facebook o incidente informoval z piatka na sobotu.

Prístupový token je dlhodobý identifikátor, ktorým sa po prihlásení identifikuje prehliadač užívateľa alebo napríklad mobilné aplikácie Facebooku voči serverom Facebooku namiesto potreby opakovaného prihlasovania. Vygenerovaný token mal podľa spoločnosti oprávnenia mobilnej aplikácie Facebooku a umožnoval tak uskutočňovať rovnaké činnosti ako je to možné pomocou mobilnej aplikácie, vrátane okrem iného čítania správ, príspevkov a prispievania.

Chyby boli prítomné od júla 2017. Facebook incident detekoval v utorok 25. septembra po tom, ako začal v polovici mesiaca prešetrovať netypickú aktivitu.

Podľa jeho zistení útočníci získali prístupové tokeny pre 50 miliónov účtov, kedy sa tak stalo zatiaľ neavizoval. Rovnako Facebook neavizoval ako boli použité, podľa v piatok prezentovaných informácií to zatiaľ len prešetroval a prvotné informácie údajne podľa spoločnosti nepoukazovali na to, že by sa pomocou nich pristupovalo k správam a príspevkom užívateľov.

Facebook odstránil zraniteľnosť, zatiaľ zneprístupnil funkčnosť "View As" a pre postihnuté účty zrušil všetky platné prístupové tokeny. To znamená, že sa títo užívatelia museli alebo musia na všetkých zariadeniach znovu prihlásiť. Postihnutých užívateľov neupozornil zatiaľ emailom, informácia sa im zobrazí len po prihlásení v podobe notifikácie.

Okrem 50 miliónov účtov takéto opatrenia uskutočnil pre ďalších 40 miliónov účtov, u ktorých bolo použité "View As" odkedy tam boli prítomné chyby ale neboli terčom detekovaného incidentu. Tento krok označuje za preventívny.

Bližšie informácie je možné nájsť v oznámení Facebooku. Na viaceré otázky v uskutočnených tlačových konferenciách spoločnosť odpovedala ale pomerne vyhýbavo s odôvodnením na skorú fázu prešetrovania incidentu.


      Zdieľaj na Twitteri



Najnovšie články:

SpaceX mala vážne problémy pri teste lode pre ľudskú posádku
Identifikovaný prvý objekt nepochádzajúci z našej sústavy, ktorý narazil do Zeme
Pre .sk technicky spustená podpora bezpečného DNS, DNSSEC
Android ponúkne iné prehliadače a vyhľadávače, ako to bude vyzerať
NASA detekovala prvotnú molekulu vesmíru


inzercia



Diskusia:
                               
 

view ass
Odpovedať Známka: 9.7 Hodnotiť:
 

benis agtivity detegted
Odpovedať Známka: 10.0 Hodnotiť:
 

View zucker
Odpovedať Známka: 4.7 Hodnotiť:
 

štvavá kampaň proti Bohom vyvolenému, ako vždy po tisíce rokov na starom kontinente Európy nasmerovaná proti pracovitým sľušným poctivým slizákom z radov židovsko_chazarskej lúze parazitov spoločnosti, ktorí v živote nikdy nič nevyprodukovali.

Židácky zmrd sa nedelí priamou úmerou medzi svojich "vyvolených", v tom prípade na súdoch ak nepustí perie uletí, skape.
Odpovedať Známka: -8.7 Hodnotiť:
 

je to priekazne prekazatelne? :-)
Odpovedať Známka: 6.7 Hodnotiť:
 

samozrejme že nie je.. :-)
Ahasver Ty sa kroť lebo "...pôjdeš do basy Ty sviňa" :-)
ako môžeš takto nazývať našich židovských spoluobčanov???
Kopa z nich má rozumu viac ako desať našich "neprispôsobivých" spoluovčanov dokopy...
Židia majú strašnú kopu Nobeloviek apod., to že kopú nie za kresťanov/gójov je už iná vec.
Odpovedať Známka: -2.7 Hodnotiť:
 

nobelovku za mier maju aj pani ako obongo,arafat a al gore, velku vahu by som tomu neprikladal..
Odpovedať Známka: 2.0 Hodnotiť:
 

u tých troch samozrejme žiadnu...ale u tých čo to dostali za reálny výskum a niečo aj vyskúmali tam samozrejme áno
Odpovedať Hodnotiť:
 

Zakomplexovaný chudáčik???
Odpovedať Hodnotiť:
 

Marianko, to si ty? Neboli ta ruka od hajlovania? Stale ta trapia zle predstavy? Lieky nezaberaju?
Odpovedať Hodnotiť:
 

nemam faceblog, mna "nehekli" :)
Odpovedať Známka: 3.3 Hodnotiť:
 

ale možno hekli niekoho kto o tebe píše alebo zdiela fotky na ktorých si aj ty. Človek aby nosil masku a chodil kanálmi ak nechce byť na FB.
Odpovedať Známka: 10.0 Hodnotiť:
 

Aj keby som mal facebook, asi by som tam neriesil nic doverne. Ludia to robia?
Odpovedať Známka: 6.8 Hodnotiť:
 

Ale porno kolekcia tam mohla vzniknut dobra z privatnych albumov celebrit a jebavych zien ak tam nieco take existuje alebo z PM co posielali svojim napadnikom / "len tak na stiplavy chat" vaginy :P
Odpovedať Známka: 7.3 Hodnotiť:
 

The Frappening bol z Apple cloudu. Urcite take nieco na FB nebude. FB ma svoju povest s narabanim informacii pouzivatelov, ktoru ma samozrejme velmi zasluzenu a FB je vlastne len chat, propaganda a jeden velky blsak.
Odpovedať Známka: -7.1 Hodnotiť:
 

ludia nie, NPCcka ano
Odpovedať Známka: 10.0 Hodnotiť:
 

K comu je dobre x-faktorove overovanie, ked potom vymyslia tokeny, lebo uzivatela otravuje furt sa prihlasovat.
Sme znovu na zaciatku. Uroven bezpecnosti sa rovna lenivosti cloveka(uzivatela/admina/developera/....)



Odpovedať Známka: 4.8 Hodnotiť:
 

tokeny su v pohode, len musia byt nastavene aby expirovali, a nesmu uniknut.
Odpovedať Známka: 6.3 Hodnotiť:
 

a ako dlho si predstavujes dobu expiracie?

15-30-60 min?
1-2-3-4-6-12-24 hod?
1-2-3 dni?
1-2-3 tyzdne?
1-2 mesiace?
1/4 - 1/2 - 1 rok?

pretoze sice neexsituje konkretna a presne definovana ostra hranica, ale iste je, ze ak by to bolo prilis casto, ludi by to asi troska otravovalo s prihlasovanim ...
Odpovedať Známka: -1.7 Hodnotiť:
 

ty si asi nikdy neimplementoval ziadnu autentifikaciu s tokenmi. Inak by si vedel ze existuje pojem "silent token renew"
Odpovedať Známka: 3.3 Hodnotiť:
 

Alebo refresh token - zalezi od pouziteho flowu.
Odpovedať Známka: 6.0 Hodnotiť:
 

sliding expiration
Odpovedať Známka: 3.3 Hodnotiť:
 

Tokeny su v pohode najma na utoky MITM
Odpovedať Známka: 5.0 Hodnotiť:
 

Ja chcem tokeny na chaturbate.com :-):-P
Odpovedať Známka: 5.0 Hodnotiť:
 

uz to pisem cele roky, dlheee roky rokuce: zivot sa hemzi nepriamymi umerami, kde sucin dvoch velicin je konstantny, resp. tvoria naklad na miskach rovnoramennych vah, tu su to:

- user friendly feature @ comfort
- security

akonahle sa nieco zlepsi, to druhe sa zhorsi

Odpovedať Známka: 0.9 Hodnotiť:
 

Ej veru, lepsie si je, ze by bezpecnost pouzivatelskych dat jednou z hlavnych priorit sluzby s povinnou registraciou mohla i nebyt, priekazne ani nepredstavovat.
Odpovedať Známka: -2.9 Hodnotiť:
 

iáá
Odpovedať Známka: -6.7 Hodnotiť:
 

Tu výberové konanie na menežérsku pozíciu skutočne priekazne neprebieha.
Odpovedať Známka: 0.0 Hodnotiť:
 

tak to si ho presne klasifikoval...somára :-)
Odpovedať Známka: 2.0 Hodnotiť:
 

Už aj telefónne číslo na prihlásenie použije na reklamu https://bit.ly/2OTDI13
Odpovedať Známka: 10.0 Hodnotiť:
 

Ako dopadlo nedelnajsie hackovanie / vymazanie Zuckerovho uctu na fb? Hackeri z toho mali vysielat live stream.
Odpovedať Známka: 10.0 Hodnotiť:
 

čo ja viem, tak mal rušiť jeho FB stránku a vraj to zrušil a nahlásil chybu facebooku. Že zverejní dôkaz keď mu facebook vyplatí "bounty".
Odpovedať Známka: 10.0 Hodnotiť:
 

EU podme - GDPR a pokuta 1 000 000 eur za kazdy ucet !!!
Odpovedať Známka: 6.8 Hodnotiť:
 

Vitajte vo svete cloudu.
Odpovedať Známka: -5.0 Hodnotiť:
 

ako ta chyba suvisi s cloudom?
Odpovedať Známka: 5.0 Hodnotiť:
 

Zdravím. Aký máte názor na službu Google Fotky a teda celkovo, ukladanie fotiek a videa niekam do cloudu. Ako záloha fotiek zdarma, kdekoľvek, nonstop na akomkoľvek zariadení je fajn predstava. Len ja mám trochu obavy. Najmä ohľadom možného zneužitia mojich fotiek, bezpečnosti pred možným únikom týchto súkromných dát, analýzou fotiek a videa samotnou spoločnosťou Google za pomoci strojového učenia / umelej inteligencie pre lepšie cielenú reklamu?
Odpovedať Známka: 10.0 Hodnotiť:
 

Pre možné, spolupracovanie s bezpečnostnými službami, v prípade podozrenia?? Nedávno som zálohoval niekolko fotografií a videí do služby Google fotky a celkom ma prekvapilo, ako si to zanalizovalo fotky a videá z jedného dňa a vytvorilo mi to samo od seba zostrih zaujímavých udalosti z daného dňa podľa akéhosi algoritmu, na strane serveru. Ďalej, analyzovanie a kategorizovanie obsahu z fotografií, údajov exif, (čas dátum GPS).. Fotku si dokážem vyhľadať podľa ročného obdobia, miesta, tváre človeka (ak som daného človeka systému už priradil), obsahu na fotografii. Veď to je šialene :D
Odpovedať Známka: 10.0 Hodnotiť:
 

Nepouzivaj cloud. Cloud je zlo. Cloud znamená že niesi pánom svojich dát. Niekto iný má nad tebou kontrolu. Radšej si nastav synchronizáciu dát medzi svojimi zariadeniami. Mobil, PC, NAS...
Odpovedať Známka: 10.0 Hodnotiť:
 

Byť pánom svojich dát či pánom svojho času... to je otázka...
Odpovedať Známka: 6.0 Hodnotiť:
 

jj, odporucam NextCloud. Rozbehas v pohode na Raspberry a ma desktopovu aj mobilnu sync app.
Samozrejme to na Raspberry nedosahuje rychlost dropboxu, ale pouzivam ho asi pol roka a zatial v pohode.
Alebo ak by si mal vyssi budget, rozbehaj to na slusnom zeleze a na nejake korporatne cloudy, na ktorych akurat trenuju svoje UI si ani nespomenies.
Odpovedať Hodnotiť:
 

Vďaka za tip. Ten NextCloud vyzerá ako fajn alternatíva k mojim potrebám prístupu k starším dátam.
Syntaxterror, zaujímavá, až rozumná myšlienka. Bolelo to?
Jebe jebe jebe, pánom svojich dát som Ja, až do smrti. Ale co potom...
Odpovedať Hodnotiť:
 

zakladne pravidlo, pokladaj vsetko co nahras do cloudu ako verejne
ja google photos pouzivam rad, ale nikdy by som tam nenahral fotky ktore by mi vadili ak by sa stali verejne, niekto ich ukradol atd
Odpovedať Hodnotiť:
 

Vtipné ako Zuck predáva súkromné dáta roky, ale keď si ich niekto zoberie bez platenia sú z toho všetci mimo.

Nie je to len predaj dát tretej strane ktorý je maskovaný ako bezpečnostný incident? Dávalo by to zmysel po všetkých tých nedávnych incidentoch okolo Facebooku.
Odpovedať Známka: 7.5 Hodnotiť:
 

A ja sa čudoval prečo ma vyhodilo z fb, čas zrušiť účet
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak prajem veľa zábavy. Zrušiť účet na FB je celkom dobrá - a minimálne 30 dní trvajúca - zábava. Zrušiť ho hneď je nemožné. Tých 30 dní ponúkajú ako možnosť vrátiť sa k svojej dennej dávke voyerizmu.
Odpovedať Známka: 10.0 Hodnotiť:
 

Agentura NSA ďakuje panovi Zuckenberkovi za plodnú spolupracu a najma o stalu aktualizáciu zadných dvierok aby sme mohli spoločne bojovať proti "terorizmu".

Best regards:
NSA team
Odpovedať Hodnotiť:
 

detegoval,detegovaného
Odpovedať Hodnotiť:

Pridať komentár