[AKTUALIZACJA] 50 milionów kont użytkowników Facebooka zagrożonych przejęciem

dodał 28 września 2018 o 20:25 w kategorii Info, Włamania  z tagami:
[AKTUALIZACJA] 50 milionów kont użytkowników Facebooka zagrożonych przejęciem

Jeśli dzisiaj Facebook poprosił Was znienacka o ponowne logowanie do strony lub aplikacji, to mamy dla Was dwie wiadomości – dobrą i złą. Dobra: Wasze konto jest już bezpieczne. Zła: niestety chwilę wcześniej można było je przejąć.

Dział bezpieczeństwa Facebooka ogłosił dzisiaj odkrycie bardzo poważnej luki w systemach społecznościowego giganta. Co więcej – luki, która najwyraźniej była już przez kogoś użyta. Błąd został naprawiony, a tożsamość sprawców i cel ich działania pozostają nieznane.

Wyświetl jako – albo zaloguj się

Facebook poinformował, że błąd umożliwiający logowanie na cudze konto powstał około lipca 2017 w czasie prac nad funkcją wgrywania plików wideo. Zmiany w kodzie wpłynęły wtedy na sposób funkcjonowania narzędzia „wyświetl jako” – umożliwiającego sprawdzenie, jak wygląda np. nasz profil oczami innego użytkownika. Przy okazji atakujący mógł wykraść token dostępowy, czyli ciąg znaków pozwalający na zalogowanie się na konto innego użytkownika. Prawdopodobnie (Facebook nie stwierdził tego wprost) metoda ta pozwalała na przejmowanie kontroli nad kontami bez względu na to, czy używały dwustopniowego logowania.

Błąd został odkryty przez inżynierów Facebooka 25 września. Po naprawieniu problemu i poinformowaniu organów ścigania Facebook postanowił zresetować tokeny dostępowe 50 milionom użytkowników, którzy mogli paść ofiarą tego ataku. Dodatkowo reset zafundowano kolejnym 40 milionom, których konta były w ciągu ostatniego roku użyte w funkcji „wyświetl jako”. Użytkownicy, których tokeny dostępowe zostały zresetowane, muszą ponownie zalogować się do strony WWW lub aplikacji Facebooka na wszystkich urządzeniach. Co ważne, nie trzeba zmieniać swojego hasła – włamywacze nie mogli go w tym ataku poznać.

Jak do tej pory nie wiadomo ani kto stał za atakiem, ani jaki był cel atakujących. Co ciekawe, atakujący zdecydował się nie zgłaszać błędu, mimo iż zapewne otrzymałby nagrodę w programie bug bounty o wysokości co najmniej kilkudziesięciu tysięcy dolarów. To oznacza, że cel jego ataku wart był więcej. Facebook nadal analizuje incydent i mamy nadzieję, że prędzej czy później poznamy jego szczegóły. Funkcja „Wyświetl jako” została tymczasowo wyłączona.

Aktualizacja 21:20, czyli na czym polegały trzy błędy odkryte przez włamywaczy

Według informacji przekazanych w trakcie telekonferencji z dziennikarzami przestępcy użyli trzech błędów, by ukraść tokeny dostępowe użytkowników.

Po pierwsze w niektórych przypadkach w trakcie korzystania z funkcji „Wyświetl jako” osobie wyświetlającej podgląd strony „oczami” innej osobym mogła pokazać się możliwość opublikowania filmu z życzeniami urodzinowymi. Standardowo opcja wgrywania filmów nie była w tym widoku aktywna – ale najwyraźniej, jeśli ktoś akurat obchodził urodziny, aktywował się fragment kodu umożliwiający publikację filmu.

Drugi błąd powodował, że funkcja wgrywania filmu generowała token, umożliwiający zalogowanie się do aplikacji mobilnej – co standardowo nie powinno być możliwe.

Trzeci błąd – najważniejszy – sprawiał, że generowany token był tokenem osoby, której „oczami” atakujący podglądał witrynę, a nie tokenem konta, z którego aktualnie korzystał.

Połączenie tych trzech błędów umożliwiało przejęcie cudzego konta. Z kolei cudze konto mogło być użyte do atakowania kolejnych znajomych – i takie działania podjęli na masową skalę włamywacze. Dopiero wtedy Facebook zauważył atak, zidentyfikował problem i zlikwidował błędy w kodzie.

Warto także zauważyć, że posiadając cudzy token dostępowy, można poznać dane wszystkich jego znajomych – zatem jeśli włamywacze faktycznie zdążyli ukraść tokeny 50 milionów użytkowników, to mogą znać już kompletną bazę użytkowników Facebooka.

Wylogowało mnie, co powinienem zrobić?

Facebook nie wskazuje konieczności podjęcia żadnych działań poza ponownym zalogowaniem się do serwisu – i na szczęście jest w tym względzie na tyle wiarygodny, że pozostaje mu uwierzyć. Według informacji podanych w trakcie konferencji prasowej wykradzione tokeny były używane jedynie do pobierania danych profilowych, a atakujący nie odczytywali prywatnych wiadomości ani nie publikowali wpisów. Na pewno jest to jednak dobra okazja, by przejrzeć posiadane aplikacje, przypisane do konta numery telefonów i adresy e-mail oraz zmienić autoryzację na dwuskładnikową z użyciem aplikacji (np. Google Authenticator lub aplikacja Facebooka, która też potrafi generować kody) lub sprzętowego tokenu. Można wtedy spokojnie usunąć z FB numer naszej komórki – i mieć nadzieję, że faktycznie został usunięty…