Facebook рассказала об уязвимости, затронувшей 90 миллионов пользователей
Специалисты Facebook начали расследование бреши в безопасности функции просмотра профиля со стороны и разлогинили из соцсети 90 млн уязвимых пользователей.
В своем блоге Facebook объявила о бреши в безопасности, позволяющая злоумышленникам получить доступ к персональным страницам 50 млн пользователей социальной сети. Специалисты компании обнаружили дыру в функции просмотра профиля «со стороны» и уже сообщили о ней правоохранительным органам, а также разлогинили жертв уязвимости, чтобы уберечь их от опасности.
Что делает Facebook?
Инженеры корпорации начали расследование 25 сентября 2018 года и пришли к выводу, что ошибка кроется в функции View As, которая позволяет увидеть, как выглядит пользовательская страница для других людей. Эксплуатируя брешь, злоумышленники получали возможность перехвата токенов доступа для контроля над профилями пользователей. Эти токены используются как цифровые ключи к аккаунтам: с их помощью пропадает необходимость авторизовываться в системе при каждом входе.
После исправления ошибки специалисты предприняли несколько шагов: сообщили о случившемся правоохранителям и обнулили ключи доступа для 50 млн пострадавших пользователей. Кроме того, компания сделала то же самое для 40 млн потенциально уязвимых людей в мерах предосторожности. Пользователи должны будут залогиниться во всех приложениях, где использовался механизм Facebook Login. Также при следующем их входе в соцсеть вверху страницы появится оповещение с пояснением о случившемся.
Какие еще действия предпримет компания?
Кроме сброса токенов доступа инженеры отключили функцию View As до окончания расследования. Как выяснили специалисты, причина ошибки заключалась в сложных взаимодействиях между ошибками в коде. Они предполагают, что все началось еще в 2017 году, когда обновление функции загрузки видео затронуло работу View As.
Инженеры еще не знают, попала ли конфиденциальная информация в руки злоумышленников и кто стоит за атакой, но обещают делиться подробностями по мере развития событий.
В апреле 2018 года исследователи раскрыли еще один способ кражи данных пользователей Facebook с помощью механизмов авторизации. Оказалось, что сторонние JavaScript-библиотеки аналитических и рекламных сервисов собирают информацию о посетителях сайта через аутентификационную функцию «Войти через Facebook».
524 открытий524 показов
Редактирование текстов, перевод с озвучкой и саммари видео — новые нейронки в Яндекс.Браузере.
Киберугрозы — красный флаг для современного бизнеса. Назвали методы защиты ПО бизнеса от кражи данных и потери работоспособности IT-систем.
Объясняем, что значит мем «Джун уронил прод» и объясняем, что делать, чтобы прод не падал, и кого винить в падении прода.
Описали четыре техники увеличения безопасности кода и подобрали примеры к каждой из них. В статье вы познакомитесь не только с универсальными приемами, но и специфическими – для серверов и ботов.