Den säkerhetsbrott som upptäcktes av Facebook (NASDAQ: FB) ingenjörer den 25 september gjorde det möjligt för angriparna att ta direkt kontroll över användarkonton. cirka 50 miljoner av dem är exakta.
Det senaste Facebook-säkerhetsbrottet
Förutom de 50 miljoner, sa Facebook också att det fanns ytterligare 40 miljoner konton som var potentiellt utsatta. Alla sa att företaget loggade ut 90 miljoner konton för att förhindra ytterligare skador.
$config[code] not foundI en säkerhetsuppdatering medgav Facebook att attacken kunde exploatera den komplexa interaktionen mellan flera problem i sin kod. Detta berodde på en förändring som företaget gjorde till sin videoöverföringsfunktion i juli 2017 som påverkar funktionen "Visa som".
Facebook sa, "Attackerna behöver inte bara hitta denna sårbarhet och använda den för att få åtkomsttoken, de måste sedan svänga från det kontot till andra för att stjäla fler tokens."
Denna attack kunde inte ha kommit på en sämre tid för Facebook. Företaget försöker räcka upp sin säkerhet före det kommande halvtidsvalet samtidigt som man försöker återhämta sig från Cambridge Analytica fiasco, där data från cirka 87 miljoner användare delades med ett politiskt konsultföretag.
Visa som funktion
Funktionen Visa som tillåter användare att se hur en profil ser till andra personer.
Attackerna kunde utnyttja tre brister eller buggar i "Visa som" -funktionen. I samma säkerhetsuppdatering uppger Pedro Canahuati, vice verkställande direktör för teknik, säkerhet och integritet, följande fel:
- Visa Som felaktigt gavs möjlighet att lägga upp en video.
- En ny version av videoprofilen (gränssnittet som skulle presenteras som ett resultat av det första felet), som introducerades i juli 2017, skapade felaktigt ett åtkomsttoken som hade behörigheterna för Facebook-mobilappen.
- När videoplastaren uppträdde som en del av View As skapade den åtkomsttoken NOT för tittaren, men för användaren tittade tittaren upp.
Facebook sa att den har stängt av funktionen Visa som tillfälligt medan den utför en säkerhetsgranskning.
Att lura Facebook för att utfärda accesstools
Med denna sårbarhet kunde attackerna lura Facebook för att utfärda dem åtkomsttoken. Detta gav dem tillgång till användarkonton som om de var användaren.
De hade också tillgång till tjänster som användaren kanske har registrerat för att använda Facebook som Airbnb, Spotify, Tinder eller andra appar och spel.
Facebook har återställt åtkomsttoken för de 50 miljoner kontona som drabbades samt de ytterligare 40 miljoner kontona som kan ha varit utsatta.
Om ditt konto var en av de 90 miljoner som drabbats av denna händelse, kommer du att bli ombedd att logga in igen på Facebook och alla länkade konton.
Vem är ansvarig?
I ett konferenssamtal (PDF) Guy Rosen, Vice VD för Produkthantering för Facebook, sade företaget har anmält polis och arbetar med FBI.
När det gäller vem som är ansvarig, fortsätter Rosen att säga att det är svårt att upptäcka vem som stod bakom attacken och att lägga till "Vi kanske aldrig vet".
Bild: Facebook
3 kommentarer ▼