L'incompliment de seguretat que va ser descobert per enginyers de Facebook (NASDAQ: FB) el 25 de setembre va permetre als atacants prendre control directe sobre els comptes d'usuari; uns 50 milions d'ells per ser exactes.
L'última incompliment de seguretat de Facebook
A més dels 50 milions, Facebook també va dir que hi havia altres 40 milions de comptes potencialment vulnerables. Tot això va dir que l'empresa va tancar la sessió amb 90 milions de comptes per evitar més danys.
$config[code] not foundEn una actualització de seguretat, Facebook va admetre que l'atac era capaç d'explotar la complexa interacció de diversos problemes en el seu codi. Això va derivar d'un canvi que la companyia va fer en la seva funció de càrrega de vídeo el juliol de 2017 que afectava la funció "Mostra com".
Facebook va dir: "Els atacants no només necessitaven trobar aquesta vulnerabilitat i usar-la per obtenir un token d'accés, llavors van haver de pivotar d'aquell compte als altres per robar més tokens".
Aquest atac no podria haver arribat en un moment pitjor per a Facebook. La companyia està intentant accelerar la seva seguretat abans de les properes eleccions a mitjà termini i, alhora, tractar de recuperar-se del fracàs de Cambridge Analytics en què es van compartir dades d'uns 87 milions d'usuaris amb una agència de consultoria política.
La funció de visualització com a
La funció Vista com a permet als usuaris veure com es veu un perfil amb altres persones.
Els atacants van poder explotar tres defectes o errors a la funció "Veure com". En la mateixa actualització de seguretat, Pedro Canahuati, vicepresident d'Enginyeria, Seguretat i Privacitat, ha detallat aquests defectes de la manera següent:
- Visualitza Com s'ha proporcionat de manera incorrecta l'oportunitat de publicar un vídeo.
- Una nova versió del carregador de vídeo (la interfície que es presentarà com a resultat del primer error), introduïda al juliol de 2017, va generar incorrectament un token d'accés que tenia els permisos de l'aplicació mòbil de Facebook.
- Quan l'usuari que va penjar el vídeo va aparèixer com a part de View As, va generar l'accés token NOT per a l'espectador, però per a l'usuari el visualitzador estava buscant.
Facebook va dir que ha desactivat temporalment la funció de visualització mentre realitza una revisió de seguretat.
Tricking Facebook per emetre fitxes d'accés
Amb aquesta vulnerabilitat, els atacants van poder enganyar a Facebook en l'emissió de fitxes d'accés. Això els va donar accés als comptes d'usuari com si fossin l'usuari.
També tenien accés als serveis que l'usuari podria haver registrat per utilitzar Facebook com Airbnb, Spotify, Tinder o altres aplicacions i jocs.
Facebook ha restablert els tokens d'accés dels 50 milions de comptes afectats i els 40 milions de comptes addicionals que podrien haver estat vulnerables.
Si el vostre compte era un dels 90 milions afectats per aquest incident, se us demanarà que torneu a iniciar la sessió a Facebook i a tots els comptes enllaçats.
Qui és responsable?
En una conferència telefònica (PDF) Guy Rosen, vicepresident de Gestió de Productes de Facebook, va dir que la companyia ha notificat al compliment de la llei i està treballant amb el FBI.
Quant a qui és el responsable, Rosen continua dient que és difícil descobrir qui estava darrere de l'atac i va afegir que "Mai no podem saber".
Imatge: Facebook
3 Comentaris ▼
