Кібер-атаки піддається персональних даних 50 мільйонів Facebook облікові записи

Computer Security News

Facebook повідомили, що останні кібернапад піддаються особистої інформації 50 мільйонів рахунків.

Соціальна мережа команда показали, що хакери мають експлуатовані уразливості в “Подання як” функцію, нехай вони крадуть Facebook маркери доступу.

Завдяки “Подання як” функцію користувачі можуть бачити, як інші люди бачать свій профіль. Ця функція буде здійснюватися у розділі “конфіденційність”, щоб допомогти користувачам, щоб перевірити, що тільки цільової даних є видимим для загальнодоступного профілю.

16 вересня Facebook команда плямистий сплеск руху, однак, кібер-атаки, сам був зареєстрований 25 вересня, коли команди знайшли спосіб платформи була порушена. Офіційно, Facebook розкрита інцидент 27 вересня.

У відповідь на атаку Facebook команда відключив функцію “Перегляд як”, скинути маркерів безпеки для 50 мільйонів вплив облікових записів і як запобіжний засіб, скинути їх для інших облікових записів 40 мільйонів. Крім того, хакери встигли доступу до деяких даних Facebook Марк Цукерберг засновник і головний операційний директор Шеріл гітари Sandberg.

Facebook команда сповіщення всіх користувачів, чиї токени бути скомпрометована нападників.

Відповідно до цієї соціальної мережі вразливості є результатом ланцюжка три недоліки, які зачіпають функцію “Перегляд як” та Facebook на відео uploader. Версія відео uploader інтерфейс, постраждалих від вразливість була введена в 2017 липня.

1. експерти зауважив, що в “подання як” дозволяє відображати профілю як на читання інтерфейс. але платформи не зможе перевірки змісту через текстове поле, що дозволяє людям побажати з днем народження до своїх друзів (це перша помилка). Експерти виявили, що це можливо розмістити відео через це поле.
2. друге питання пов’язані з тим, що відео uploader generated маркер доступу, що дозволи Facebook мобільний додаток, коли розміщення відео в текстовому полі.
3. третій помилка, що маркер генерується не було для користувача, яка була використанням “Подання як”, але для однієї чийого профілю був розглядається, це означає, що нападники може отримати маркера від сторінки HTML-код і використовувати його, щоб взяти на себе цільових користувачів рахунку.

ще одна цікава річ про останні кібер-атаки є те, що хакери б спочатку зламати обліковий запис на друзів і нападу інших облікових записів, підключених до нього після цього.

Facebook також повідомили, що злочинці сумніви API для доступу до інформації профілю, але немає приватної інформації (приватні повідомлення або дані кредитної картки), здається, були доступні.

Іншим занижених аспектом є те, що піддається жетони можуть бути використані для доступу до додатків третіх сторін, які нехай профіль перевірки автентичності використання Facebook. Маркер скидання також пом’якшені цей ризик.

Крім того, експерти попереджають, що користувачів, які пов’язали їх Facebook та Instagram рахунки слід від’єднати і повторно зв’язати свої рахунки через скидання маркерів.


Leave a Reply

Your email address will not be published. Required fields are marked *