Kritická chyba na Facebooku ohrozila přes 50 milionů účtů

2. 10. 2018 v sekci Článek

Na mnohé uživatele sociální sítě Facebook čekalo na konci září nemilé překvapení – Facebook je odhlásil a ke svým účtům se museli znovu přihlásit. To samozřejmě není problém (pokud si pamatujete heslo), nicméně tato situace má nepříjemné pozadí – jeden z nejzávažnějších bezpečnostních incidentů, kterému dosud Facebook čelil.

V pátek 28. září 2018 Facebook oznámil, že 25. září odhalil jeho tým neobvyklý provoz na serverech, jehož bližší prozkoumání ukázalo, že od 16. září někdo neoprávněně získával data týkající se více než 50 milionů účtů. Vzápětí zástupci Facebooku samozřejmě ujistili uživatele, že berou bezpečnost velice vážně, a proto také všechny okamžitě informují, co se vlastně stalo.

Podle vyšetřování, které je stále na začátku, je v současné chvíli zřejmé, že neznámí útočníci zneužili zranitelnosti v kódu související s funkcí „View As“, která za normálních okolností umožňuje uživatelům vidět vlastní profil na Facebooku tak, jak jej vidí jiný (konkrétní) uživatel. Ale právě v důsledku neopravených zranitelností mohl kdokoliv získat autentizační token pro účet, jehož „očima“ se díval. Tokeny, tedy digitální klíče, se používají pro ověřený přístup k mobilní aplikaci a různým API. Díky klíči, který zajišťuje, že zůstane uživatel přihlášený a nemusí znovu zadávat svůj login, pak útočník mohl dělat prakticky cokoliv, co může s účtem dělat jeho legitimní uživatel.

Útočníci prý využili kombinace hned tří chyb v kódu. První bug nabízel uživateli nesprávně možnost nahrát video jako blahopřání k narozeninám, a to právě v režimu „View As“. Jenže další problém se týkal samotného systému pro nahrávání videa, který chybně generoval přístupové tokeny – ty udělovaly práva k přihlášení do mobilní aplikace, což jinak není dovolené. Třetí chybou bylo, že systém nevygeneroval token uživateli účtu, ale účtu, který byl použit pro náhledový „View As“ režim, takže se kdokoliv mohl zmocnit účtu osoby jejíž pohled na svůj profil simuloval. Funkce „View As“ byla dočasně pozastavena, dokud nebude jistota, že funguje maximálně bezpečně.

Podle zprávy byla prvním krokem Facebooku oprava zranitelností, následně byly informovány bezpečnostní orgány a zahájeno vyšetřování. Poté bylo zapotřebí z bezpečnostních důvodů resetovat přístupové tokeny 50 milionů účtů. Preventivně ale byly resetovány také tokeny dalších 40 milionů účtů – šlo o uživatele, kteří v uplynulém roce použili funkci „View As“. Ve výsledku došlo k resetu tokenů pro 90 milionů účtů. Ihned po novém přihlášení pak uživatelé ve svém News Feedu našli notifikaci, která jim celou situaci popsala.

V rámci vyšetřování se nyní prověřuje, jestli byl nějaký účet v důsledku incidentu zneužit nebo jinak ohrožen. Facebook současně vyzývá uživatele, kteří zaznamenali nějakou podezřelou aktivitu na svém facebookovém účtu, aby vše okamžitě nahlásili. Podle zprávy Facebooku nebyla ohrožena přihlašovací hesla. Zatím nejsou k dispozici žádné stopy, které by vyšetřovatele dovedli k útočníkům. O dalším průběhu budou uživatelé údajně informováni, jakmile dojde k nějakému vývoji.

Zdroj: Facebook






Tento web používá cookies. Více informací ROZUMÍM