Ang paglabag sa seguridad na natuklasan ng mga inhinyero sa Facebook (NASDAQ: FB) noong Setyembre 25 ay nagbigay ng direktang kontrol sa mga attacker sa mga account ng gumagamit; halos 50 milyon sa kanila ay eksaktong.
Ang Pinakabagong Pag-aalis ng Seguridad sa Facebook
Bilang karagdagan sa 50 milyon, sinabi din ng Facebook na may iba pang 40 milyong mga account na potensyal na mahina. Sinabi ng lahat, ang kumpanya ay nag-log out ng 90 milyong mga account upang maiwasan ang karagdagang pinsala.
$config[code] not foundSa isang pag-update sa seguridad, inamin ng Facebook na ang pag-atake ay nakapagpamalas ng komplikadong pakikipag-ugnayan ng maraming mga isyu sa code nito. Ito ay dumating mula sa isang pagbabago ng kumpanya na ginawa sa tampok na pag-upload ng video nito sa Hulyo ng 2017 na naka-apekto sa tampok na "Tingnan Bilang".
Sinabi ng Facebook, "Ang mga attackers ay hindi lamang kailangan upang mahanap ang kahinaan na ito at gamitin ito upang makakuha ng isang access token, sila pagkatapos ay pivot mula sa account na iyon sa iba na magnakaw ng higit pang mga token."
Ang pag-atake na ito ay hindi maaaring dumating sa isang mas masahol na oras para sa Facebook. Ang kumpanya ay sinusubukang i-ratchet up nito seguridad bago ang paparating na halalan sa kalagitnaan ng termino habang sa parehong oras sinusubukan upang makuha mula sa Cambridge Analytica kasawiang-palad kung saan ang data mula sa tungkol sa 87 milyong mga gumagamit ay ibinahagi sa isang pampulitika ahensiya ng pagkonsulta.
Ang Tingnan Bilang Tampok
Ang tampok na Tingnan Bilang ay nagbibigay-daan sa mga gumagamit upang makita kung paano ang isang profile ay tumitingin sa ibang tao.
Ginamit ng mga attacker ang tatlong mga flaw o bug sa tampok na "View As". Sa parehong update sa seguridad, si Pedro Canahuati, Pangalawang Pangulo ng Engineering, Seguridad at Pagkapribado, ay nakalista sa mga bahid na tulad ng sumusunod:
- Tingnan kung hindi tama ang ibinigay ng pagkakataon na mag-post ng isang video.
- Ang isang bagong bersyon ng uploader ng video (ang interface na ipapakita bilang isang resulta ng unang bug), ipinakilala noong Hulyo 2017, mali ang nakabuo ng isang access token na may mga pahintulot ng Facebook app sa mobile.
- Kapag ang uploader ng video ay lumabas bilang bahagi ng View As, ito ay nakabuo ng access token HINDI para sa viewer, ngunit para sa user ang tumitingin ay naghahanap up.
Sinabi ng Facebook na pansamantalang naka-off ang tampok na View As habang nagsasagawa ito ng isang pagsusuri sa seguridad.
Pagkawasak ng Facebook sa Issue Access Tokens
Gamit ang kahinaan na ito, ang mga attackers ay magagawang linlangin Facebook sa issuing sa kanila ng mga token access. Nagbigay ito sa kanila ng access sa mga account ng user na parang sila ang gumagamit.
Mayroon din silang access sa mga serbisyo na maaaring nakarehistro ng gumagamit para sa paggamit ng Facebook tulad ng Airbnb, Spotify, Tinder o iba pang apps at mga laro.
Ini-reset ng Facebook ang mga token ng pag-access ng 50 milyong mga account na apektado pati na rin ang karagdagang 40 milyong mga account na maaaring nahawaan.
Kung ang iyong account ay isa sa 90 milyon na apektado ng insidente na ito, ikaw ay sasabihan na muling mag-login sa Facebook at anumang naka-link na mga account.
Sino ang may pananagutan?
Sa isang conference call (PDF) Si Guy Rosen, Pangalawang Pangulo ng Pamamahala ng Produkto para sa Facebook ay nagsabi na ang kumpanya ay nagpapaalam sa pagpapatupad ng batas at nakikipagtulungan sa FBI.
Tungkol sa kung sino ang may pananagutan, sinabi ni Rosen na mahirap matuklasan kung sino ang nasa likod ng pag-atake, at idinagdag "Hindi namin alam."
Larawan: Facebook
3 Mga Puna ▼
