[AKTUALIZACJA] 50 milionów kont użytkowników Facebooka zagrożonych przejęciem
![[AKTUALIZACJA] 50 milionów kont użytkowników Facebooka zagrożonych przejęciem](/wp-content/uploads/2013/08/facebook.png)
Jeśli dzisiaj Facebook poprosił Was znienacka o ponowne logowanie do strony lub aplikacji, to mamy dla Was dwie wiadomości – dobrą i złą. Dobra: Wasze konto jest już bezpieczne. Zła: niestety chwilę wcześniej można było je przejąć.
Dział bezpieczeństwa Facebooka ogłosił dzisiaj odkrycie bardzo poważnej luki w systemach społecznościowego giganta. Co więcej – luki, która najwyraźniej była już przez kogoś użyta. Błąd został naprawiony, a tożsamość sprawców i cel ich działania pozostają nieznane.
Wyświetl jako – albo zaloguj się
Facebook poinformował, że błąd umożliwiający logowanie na cudze konto powstał około lipca 2017 w czasie prac nad funkcją wgrywania plików wideo. Zmiany w kodzie wpłynęły wtedy na sposób funkcjonowania narzędzia „wyświetl jako” – umożliwiającego sprawdzenie, jak wygląda np. nasz profil oczami innego użytkownika. Przy okazji atakujący mógł wykraść token dostępowy, czyli ciąg znaków pozwalający na zalogowanie się na konto innego użytkownika. Prawdopodobnie (Facebook nie stwierdził tego wprost) metoda ta pozwalała na przejmowanie kontroli nad kontami bez względu na to, czy używały dwustopniowego logowania.
Błąd został odkryty przez inżynierów Facebooka 25 września. Po naprawieniu problemu i poinformowaniu organów ścigania Facebook postanowił zresetować tokeny dostępowe 50 milionom użytkowników, którzy mogli paść ofiarą tego ataku. Dodatkowo reset zafundowano kolejnym 40 milionom, których konta były w ciągu ostatniego roku użyte w funkcji „wyświetl jako”. Użytkownicy, których tokeny dostępowe zostały zresetowane, muszą ponownie zalogować się do strony WWW lub aplikacji Facebooka na wszystkich urządzeniach. Co ważne, nie trzeba zmieniać swojego hasła – włamywacze nie mogli go w tym ataku poznać.
Jak do tej pory nie wiadomo ani kto stał za atakiem, ani jaki był cel atakujących. Co ciekawe, atakujący zdecydował się nie zgłaszać błędu, mimo iż zapewne otrzymałby nagrodę w programie bug bounty o wysokości co najmniej kilkudziesięciu tysięcy dolarów. To oznacza, że cel jego ataku wart był więcej. Facebook nadal analizuje incydent i mamy nadzieję, że prędzej czy później poznamy jego szczegóły. Funkcja „Wyświetl jako” została tymczasowo wyłączona.
Aktualizacja 21:20, czyli na czym polegały trzy błędy odkryte przez włamywaczy
Według informacji przekazanych w trakcie telekonferencji z dziennikarzami przestępcy użyli trzech błędów, by ukraść tokeny dostępowe użytkowników.
Po pierwsze w niektórych przypadkach w trakcie korzystania z funkcji „Wyświetl jako” osobie wyświetlającej podgląd strony „oczami” innej osobym mogła pokazać się możliwość opublikowania filmu z życzeniami urodzinowymi. Standardowo opcja wgrywania filmów nie była w tym widoku aktywna – ale najwyraźniej, jeśli ktoś akurat obchodził urodziny, aktywował się fragment kodu umożliwiający publikację filmu.
Drugi błąd powodował, że funkcja wgrywania filmu generowała token, umożliwiający zalogowanie się do aplikacji mobilnej – co standardowo nie powinno być możliwe.
Trzeci błąd – najważniejszy – sprawiał, że generowany token był tokenem osoby, której „oczami” atakujący podglądał witrynę, a nie tokenem konta, z którego aktualnie korzystał.
Połączenie tych trzech błędów umożliwiało przejęcie cudzego konta. Z kolei cudze konto mogło być użyte do atakowania kolejnych znajomych – i takie działania podjęli na masową skalę włamywacze. Dopiero wtedy Facebook zauważył atak, zidentyfikował problem i zlikwidował błędy w kodzie.
Warto także zauważyć, że posiadając cudzy token dostępowy, można poznać dane wszystkich jego znajomych – zatem jeśli włamywacze faktycznie zdążyli ukraść tokeny 50 milionów użytkowników, to mogą znać już kompletną bazę użytkowników Facebooka.
Wylogowało mnie, co powinienem zrobić?
Facebook nie wskazuje konieczności podjęcia żadnych działań poza ponownym zalogowaniem się do serwisu – i na szczęście jest w tym względzie na tyle wiarygodny, że pozostaje mu uwierzyć. Według informacji podanych w trakcie konferencji prasowej wykradzione tokeny były używane jedynie do pobierania danych profilowych, a atakujący nie odczytywali prywatnych wiadomości ani nie publikowali wpisów. Na pewno jest to jednak dobra okazja, by przejrzeć posiadane aplikacje, przypisane do konta numery telefonów i adresy e-mail oraz zmienić autoryzację na dwuskładnikową z użyciem aplikacji (np. Google Authenticator lub aplikacja Facebooka, która też potrafi generować kody) lub sprzętowego tokenu. Można wtedy spokojnie usunąć z FB numer naszej komórki – i mieć nadzieję, że faktycznie został usunięty…
Podobne wpisy
- Kiedy nawet dobry EDR nie wystarcza – case study prawie udanego ataku z polskiej firmy
- Jak wszystkie polskie media podały dalej fake newsa o włamaniu hakerów do banku
- Jakie dane rosyjski Killnet wykradł z serwera polskiej agencji
- Co ujawnili Anonymous (i inne grupy), czyli historia prawdziwych wycieków ostatnich tygodni
- Czego nie ujawnili Anonymous, czyli historia listy rosyjskich agentów i innych sensacyjnych wycieków
Ja przy okazji odzyskiwania hasła zauważyłem że byl dodany drugi adres email całkowicie nieznany dla mnie. Usunąłem go od razu więc nie pamiętam dokładnie jaki
Hej. Jak to zrobiłeś. Ja mam problem do tej pory. Hasło do e-mail zostało zmienione i wszystkiego próbowałam. Najgorsze że u mnie również inne aplikacje zostały złamane… Po tym jak Facebook zlikwidował niby szkodę i tak moje konto już nie jest tylko moje. A każde próby założenia nowego konta czy też różne aplikacje są z e mail którego nie mogę usunąć. Najgorsze że miałam ostrzeżenie z banku.. Bo była próba zmiany.. Pomożesz
No właśnie się rano zdziwiłem, jak Facebook kazał mi się ponownie logować. Nawet popatrzyłem czy jest HTTPS i zielona kłódka,bo wydawało mi się to dziwne.
Ciekawe, bo mnie na komputerze nie pytał po tym resecie o 2FA, a na komórce tak. Coś im nie zadziałało…
Ja sie zastanawiam co kieruje ludzmi majacymi konta na FB.
Jak ktoś ma lat 40 i pracuje w sklepie to faktycznie może się obejść. Jak ktoś ma lat 20 kilka i pracuje w IT to może jakoś da radę samym Slackiem i Mailem, ale mu się raczej generalnie przyda. Jak ktoś jest na studiach / w szkole, bez FB, a teraz czasem nawet i bez Instagrama i Snapchata, zwłaszcza na niższych poziomach edukacji, będzie mu bardzo ciężko. U nas niektóre informacje lądują tylko na fb. Gdy szuka się ludzi, którzy chcieliby wziąć w czymś udział to idzie ogloszenie na grupie zamkniętej i komentarze. Cała komunikacja wewnątrz grup idzie Messengerem, w tym wysyłanie sobie materiałów, czy to jako zdjęć, czy to jako załączników wszelkiej maści. Całkiem często zdarzają się teksty typu „dobra, ja tego wam jeszczę nie mogę dać bo zapomniałam podejść rano i wam poxerować, ale wyślę temu i temu po południu mailem, bo do tego mam adres, to wam wrzuci na grupę. Rzeczy typu „dobra, nie mamy czasu, w życiu tego nie przepiszecie, niech ktoś, kto ma dobry widok zrobi zdjęcie i wyśle” też nie są takie rzadkie. Nie mówię już o komunikacji wewnątrz, między znajomymi, rzeczy typu „wiesz coś na temat” albo „podesłał byś” o które można zapytać jedną, góra kilka osób. Fakt, można się bawić w Matrixy, Mastodony i inne GPG ale prawda jest taka, że nikogo, absolutnie nikogo, w pokoleniu memów o kotach, snapów jedzenia, instastory i tldr do takich rozwiązan nie przekonamy (chyba że jest geekiem). Ja z racji na częste wysyłanie różnego typu załączników i bardziej oficjalnej komunikacji wiecej niż przeciętny korzystam z maila i doskonale pamiętam reakcje typu „co ty mi za bzdury piszesz w tych mailach” na podpisy gpg. Są ludzie bez Facebooka? A no są. Outsiderzy i wszelkiego rodzaju społeczne wyrzutki generalnie funkcjonujące gdzieś na krawędzi, których trzeba o wszystkim informować bo nic nie wiedzą. To jest jeszcze ten etap, że w pokoleniu wiek 8 && wiek < 30, Facebook to prawie obowiązek.
O takie komentarze nic nie robiliśmy! Rzeczowa, konkretna odpowiedź. Wielu osobom w branży brakuje umiejętności spojrzenia na problem z perspektywy innej niż własna. Brawo Ty.
Bzdura! Mozna miec lewe konto na FB i nie zamieszczac na nim calego swojego zycia. Mlodymi leszczami kieruje jednak jedno: LANS.
Na szczescie te mlode leszcze robia sie juz podstarzale (zbliza sie 30-tka), a nowy narybek zyje w swiecie snapa i instagrama. Lepsze idzie!
Można. Oczywiście że można. Ale wymaga to zachodu i wyjaśniania wszystkim, że ten George Orwell z wąsatym plakatem z podpisem „wielki brat patrzy” na profilowym to właśnie ja, i że to tego macie do grupki dodać. Może to i faktycznie dobre rozwiązanie dla tych, co fb używają bo muszą a nie bo chcą i muszę je osobiście rozważyć. To też ma jednak swoje wady, konieczność wyjaśniania każdemu, kim się jest zanim doda cię do znajomych to chyba największa. Dla mnie posiadanie niektórych osób w znajomych na fb jest bardzo ważne, bo nie używają sensowniejszych rozwiązań a kontakt z nimi mieć trzeba.
Wielu moich znajomych ma konto na FB tylko dla Messangera. Konto z normalnie podanym imieniem i nazwiskiem by inni mogli ich odszukać.
Pytanie po co na FB wrzucać całe swoje życie? Na szczęście to już powoli mija. Pokolenie które zachłysnęło się FB kilka lat temu gdy był tam względny porządek dziś już często od FB odchodzi bo w zalewie reklam ciężko trafić na wartościowe posty znajomych. Coraz częściej spotykam się z tym że śmieszne memy są jak dawniej wysyłane komunikatorem lub mailem a nie wrzucane na FB. Jedyna zmiana to Messanger zamiast GG.
„Rzeczowa, konkretna odpowiedź”
Czyżby? Raczej racjonalizująca sposób działania, jak napisał to przedmówca we wcześniejszym komentarzu.
Jest rzeczowa i jest konkretna. Wyjaśnia po co ludziom konta na FB i podaje z życia wzięte przykłady.
Jeśli to nie jest rzeczowe i konkretne to co jest?
&
Jest na was dobre okreslenie: jelenie.
człowiek to jednak ma niesamowite umiejętności racjonalizacji podjętej decyzji po fakcie
Uwierz mi, że ja akurat wiem, jakie niebezpieczeństwa niesie za sobą korzystanie z fbi długo się przed nim wzbraniałem. W pewnym momencie powiedziałem jednak dość, nie wytrzymałem i założyłem. wolę poświęcić jakąś tam niewielką część własnych danych pewnej firmie, która i tak z nimi wiele nie zrobi (reklamy w newsfeedzie mnie nie dotyczą, newsfeeda nie czytam). Za to dostałem możliwość kontaktu z ludźmi, z którymi w inny sposób nie można by się kontaktować i możliwość śledzenia interesujących mnie informacji oraz uczestniczenia w dyskusjach, w których z uwagi na udział w pewnych przedsięwzięciach zdecydowanie wypadałoby uczestniczyć (co jest dla mnie niezwykle ważne). Wiem, ile płacę, wiem, czym płacę, wiem, co dostaję w zamian i świadomie na taką ofertę się godzę. Ja nie jestem jednym z tych, co fb mają żeby pokazać, jaki ten kotek słodki, względnie jaka ta laska fajna / co zjadłem dziś na śniadanie, ale i tak network effect robi, niestety, swoje.
tylko że to jest koszmarnie niewygodne i niepraktyczne i po prostu boli, że ludzie się na to godzą
fora czy nawet głupi discord nadają się do tego lepiej niż grupy na FB i przeklęty messenger
wiem, że ludzie to robią
ale to nie ma sensu do tego stopnia, że mózg mi paruje
oni nie myślą, nie mają monologu w głowie. musisz zrozumieć że jesteś w top 1% zaawansowanych technicznie (już samo to że przeglądasz tę stronę), 99% ludzi jest od ciebie głupsza, a jak powiesz normalsowi że facebook zbiera twoje dane to popatrzy na ciebie jak na psychola
A ci co mają ulegają presji społecznej, bo nie przekonają reszty
Zgadzam się z @zakius, FB jest wyjątkowo słabym narzędziem do dzielenia się informacjami w grupie, tym bardziej grupie częściowo sformalizowanej.
Wg mnie główne minusy:
1) wymuszenie rejestracji na komercyjnym niezwiązanym z uczelnią portalu, dla którego tzw. „użytkownik” jest de facto towarem kupowanym przez reklamodawców,
2) facebookowy odpowiednik administratora grupy posługując się facebookowym GUI w ogóle nie ma kontroli nad tym, komu jaka informacja jest wyświetlona (chyba że ją wyśle na priv/messenger, ale wtedy po co fb?),
3) dla czytelnika szybko tworzy się chaos, w którym trudno wyłowić sensowne informacje
Gorszy wydaje mi się tylko słynny „wspólny mail” ;) Chociaż tu z kolei jest o dziwo większe pole manewru w kwestii prywatności: może administrować nim jedna osoba i ustawić nawet automatyczne rozsyłanie przychodzących wiadomości na listę BCC (UDW) do zapisanych kontaktów – i będzie to działać w miarę przewidywalnie (przynajmniej dopóki ilość spamu nie spowoduje interwencji providera ;P
Stosowanie do tego zakresu komunikacji wypromowanego choć nie nadającego się FB wynika imo z tego, że ludzie nie znają lepszych narzędzi –> są niedouczeni. Najsmutniejsze, że czasem to… wykładowca proponuje jedno lub drugie rozwiązanie = szkoła / uczelnia nie proponuje żadnej swojej platformy lub niewystarczająco ją promuje.
Oczywiście, że się nadają. Tutaj mamy jednak do czynienia z pewną inercją (jak 20 albo 200 osób korzysta z jednej platformy i systemu to skłonienie do przejścia gdzieś indziej, gdzie większość nie ma kont jest raczej trudne. Jak do tego dochodzą jeszcze osoby znacznie starsze, któe czasem muszą coś napisać albo nawet i udostępnianie postów na fb ludzi z zewnątrz, to staje się jedyną opcją. Fora internetowe… może i, ale 1. nikomu się nie chce rejestrować, 2. brak appki i powiadomień, 3. ktoś gdzieś to musi hostować. Tyle w temacie.
Moim zdaniem hosting platformy do komunikacji wykładowca studenci, samorząd studenci oraz komunikacji organizacyjnej grup studenckich powinna zapewniać uczelnia. Przy okazji ucząc dobrych praktyk w tym zakresie (zarówno studentów jak wykładowców).
Tak, rozumiem, że uczelnie też nie umieją (a przynajmniej tak się tłumaczą ich przedstawiciele). Ale to nie jest czarna magia, można się tego nauczyć lub zatrudnić kogoś umiejącego – z pożytkiem dla wszystkich.
Cały ten komentarz – mimo że rozumiem intencję jego autora – jest żałosnym uproszczeniem.
Nie mam FB, Insta, Messengera. I nie jestem „społecznym wyrzutkiem funkcjonującym gdzieś na krawędzi, którego trzeba o wszystkim informować bo nic nie wie”. Mam świadomość niedoskonałości tych technologii i niebezpieczeństw jakie ze sobą niosą. Ciągle bardziej wartościowe jest dla mnie spotkanie się drugą osobą face to face niż pisanie na Fejsie. A jeśli nie mogę się spotkać, to zostaje telefon lub (szyfrowany) email.
Nie mam też potrzeby pisania w mediach społecznościowych (czytaj: ekshibicjonizmu) o każdej pierdole jak robią to młode głupie leszcze.
Pracuje w IT (budowa bazy danych). Nie mam i nigdy nie miałam Facbooka i żyję. Na co mi to? Do podbudowania własnego ego? Głupich sweetaśnych fotek. Jak chcę pogadać z psiapsiołką to się z nią spotykam a nie ślęczę przed ekranem. Mam setki znajomych ale w realu a nie wirtualnych.
Bzdury. Jakoś 10 lat temu dało się uczyć/studiować bez FB. Po prostu teraz jest zjebane społeczeństwo.
Za kilka lat to nawet kanapki nie beda potrafili sobie zrobic, jezeli na fejsie im nie pokaza jak
mam konto z 10 lat, nic mną nie kieruje.. dziękuję, dobranoc.
Patrz Pan, a ja mam 38 lat i cale zycie w IT (od 5lat zagranica), najpierw jako Linux/Network sysadmin teraz jak DevOp i nigdy nie mialem konta na FB. Jedyny profil jaki mam to ten na LinkedIn i zyje i mam realnych znajomych. Chodze z ludzmi do PUBow i wiem co sie wokol mnie dzieje.
50 tyś $ za zgłoszenie takiego błędu? Kolejny dowód na to za gigant ma w głębokim poważaniu bezpieczeństwo swoich użytkowników. 500 tyś $ to jest godna nagroda zmuszając ludzi znających takie ich niedociągnięcia, do ujawnienia ich. Wtedy mało kto by podejmował ryzyko, a oni płacili by godnie za swoją nierozwage, co to dla nich taka kwota.
Ja konto mam prawie 10 lat i jakoś też chodzę do pubów (nie raz to nawet za często ;D ), mam znajomych itd. Po co takie generalizowanie? Widzę, że tu większość mądrali „jestem zajebisty, bo nie mam profilu na fb, a głupi plebs ma”. Ja nie wchodzę na Onety, WP i inne badziewia i co z tego? Moja sprawa. A co mną kieruje? No właśnie, że przez fb, a zwłaszcza messengera można się stosunkowo łatwo, szybko i przede wszystkim tanio porozumieć z ludźmi z całego świata, a znajomych (i interesantów) mam od Argentyny po Daleki Wschód. To, że mam profil na fb, nie znaczy że umieszczam filmiki z kotami, zasrane memy i zdjęcia jedzenia. Znajomym, którzy zasyfiają mi powyższymi oś czasu po prostu przestaję subskrybować. Przez ostatnie 5 lat miałem momenty, kiedy chciałem rezygnować z konta, nawet dwukrotnie je zawieszałem, ale ludzie np. startosta grupy na studiach, prosili mnie o powrót dla ułatwienia im pracy. Osobiście boleję nad spadkiem popularności forów phpBB, bo są naprawdę funkcjonalne, czego doświadczałem jako użytkownik, moderator i admin. Świat w swoim szaleńczym pędzie szuka coraz to łatwiejszych, choć niekoniecznie lepszych rozwiązań. C’est la vie… Jeśli nie widzisz potrzeby to spoko, Twoja sprawa. Mi się fb przydaje, moja sprawa. Ktoś bezumiaru się obnaża i podaje na tacy swoją prywatność? Jego głupota.
Ale co ty prowadzisz sklep na ebayu, że się musisz z kontrahentami przez FB porozumiewać (a tymi w Chinach przez weechat)? W firmach jest Slack i email do korespondencji, a nie FB. Zeby nie było to oczywiście do prywatnej korespondencji używam Signala i Whatsappa. Skończysz studia i zaczniesz normalną pracę w szanowanej firmie to zrozumiesz, a nie mi tu że starosta na studiach wyjeżdżasz.
>No właśnie, że przez fb, a zwłaszcza messengera można się stosunkowo łatwo, szybko i przede wszystkim tanio porozumieć z ludźmi z całego świata
niesamowite
gdyby tylko ktoś wynalazł protokół dzięki któremu można się porozumiewać tak samo szybko tylko bez centralnych serwerów zuckerberga
a nie, czekaj. jest ich nawet kilkadziesiąt
„they trust me. dumb fucks”
Newsflash:
Nieważne ile lepszy protokołów istnieje. Ważne czego używa większość Twoich znajomych.
&
Nasi prapradziadkowie dziwili się po co radio, nasi pradziadkowie po co tv … świat się zmienia a na FB można z3s śledzić ?
@Anonim
Czytanie z3s przez FB. Sendmailem przez Emacsa. Mozesz dla mnie sprawdzic, czy mozna przez FB sluchac Spotify i ogladac Prime-a?
Dzień dobry, mam 52 lata, całe życie w IT, od 7 lat za granicą (obecnie w Korei Północnej), programista FullStack. Nie mam konta na FB, Instagramie i Twiterze. Programy piszę ołówkiem na kartce papieru, kompiluję na liczydle. Z innymi ludźmi kontaktuję się przy pomocy telegrafu, sygnałów dymnych (z pobliskiego wzgórza) albo językiem migowym. Twarz mam najczęściej zamaskowaną (pończochą żony, żonie podałem fałszywe dane osobowe), nie korzystam z samochodów – poruszam się na pieszo albo konno, czasami wskoczę komuś na barana. Nie korzystam z pieniędzy w żadnej formie, stosuję barter, docelowo chcę być samowystarczalny. Mam znajomych, często spotykamy się w lesie i polujemy na jelenie, piwo wyrabiamy wspólnie (współczesne to chemia), mieszkamy w opalisadowanym szałasie wybudowanym na wyspie otoczonej bagnami (jestem miłośnikiem prastarej słowiańszczyzny). Myjemy się raz na rok, wcześniej obtaczając własne ciała w pobliskich bagnach (pomaga na komary). Wypróżniamy się w lesie, odchody zakopujemy jak koty, tę gęstsze po osuszeniu wykorzystujemy do produkcji telerzy i tynku.
Tę wiadomość zaszyfrowałem własnym szyfrem i przesłałem telegrafem do znajomej, której podałem fałszywe imię i nazwisko. Poprosiłem ją, żeby przepisała treść wiadomości lewą ręką na kartce papieru, a następnie zeskanowała. Skan miała wydrukować na drukarce igłowej i następnie wysłać gołębiem (jestem gołębiarzem, tak ją poznałem) na podesłany przeze mnie innym gołębiem adres. Tam będzie czekał kurier, który odbierze przesyłkę, a następnie prześle ją do znajomego 15 latka (poznałem go na ircu, nie zna moich danych). Ten 15 latek prześle wiadomość dalej przy pomocy swojego fałszywego konta na FB do 17 latka, który ma własny botnet. Za pomocą jednego z komputerów zombie, wiadomość zostanie przesłana dalej, przechodząc po drodze przez 72 000 komputerów zombie. Na koniec wiadomość zostanie wklepana przez niewidomoą i głuchoniemą osobę z Pakistanu, która będzie korzystać z komputera podłączonego do Internetu przez 69 VPNów oraz 33 tuneli. Tak spreparowana wiadomość trafi tutaj.
Bardzo sobie cenię wasze artykuły ale komentarze zazwyczaj są tu dość straszne. Nie myśleliście o jakimś pluginie typu disqus? Mam wrażenie, że to zazwyczaj ogranicza bucerę.