Facebook рассказала об уязвимости, затронувшей 90 миллионов пользователей

Facebook View As vulnerability

В своем блоге Facebook объявила о бреши в безопасности, позволяющая злоумышленникам получить доступ к персональным страницам 50 млн пользователей социальной сети. Специалисты компании обнаружили дыру в функции просмотра профиля «со стороны» и уже сообщили о ней правоохранительным органам, а также разлогинили жертв уязвимости, чтобы уберечь их от опасности.

Что делает Facebook?

Инженеры корпорации начали расследование 25 сентября 2018 года и пришли к выводу, что ошибка кроется в функции View As, которая позволяет увидеть, как выглядит пользовательская страница для других людей. Эксплуатируя брешь, злоумышленники получали возможность перехвата токенов доступа для контроля над профилями пользователей. Эти токены используются как цифровые ключи к аккаунтам: с их помощью пропадает необходимость авторизовываться в системе при каждом входе.

После исправления ошибки специалисты предприняли несколько шагов: сообщили о случившемся правоохранителям и обнулили ключи доступа для 50 млн пострадавших пользователей. Кроме того, компания сделала то же самое для 40 млн потенциально уязвимых людей в мерах предосторожности. Пользователи должны будут залогиниться во всех приложениях, где использовался механизм Facebook Login. Также при следующем их входе в соцсеть вверху страницы появится оповещение с пояснением о случившемся.

Какие еще действия предпримет компания?

Кроме сброса токенов доступа инженеры отключили функцию View As до окончания расследования. Как выяснили специалисты, причина ошибки заключалась в сложных взаимодействиях между ошибками в коде. Они предполагают, что все началось еще в 2017 году, когда обновление функции загрузки видео затронуло работу View As.

Инженеры еще не знают, попала ли конфиденциальная информация в руки злоумышленников и кто стоит за атакой, но обещают делиться подробностями по мере развития событий.

В апреле 2018 года исследователи раскрыли еще один способ кражи данных пользователей Facebook с помощью механизмов авторизации. Оказалось, что сторонние JavaScript-библиотеки аналитических и рекламных сервисов собирают информацию о посетителях сайта через аутентификационную функцию «Войти через Facebook».

via TechCrunch, TJournal
Source: новостной центр Facebook

Подобрали три теста для вас:
— А здесь можно применить блокчейн?
Серверы для котиков: выберите лучшее решение для проекта и проверьте себя.
Сложный тест по C# — проверьте свои знания.

Также рекомендуем: