Facebook Zero Day

  • Facebook Zero Day: Какви данни са откраднали хакерите?

    Личните данни на 29 млн. души са били откраднати заради уязвимост във Facebook, съобщи компанията-собственик на социалната мрежа. Първоначалните прогнози бяха, че атаката е засегнала поне 50 млн. потребителски профили.

    Колко профили са засегнати

    Организаторите на атаката са получили достъп до имената, телефонните номера и имейлите на 15 млн. потребители.

    За други 14 млн. потребители те са събрали много по-детайлна информация. Освен име, телефонен номер и имейл, тази информация включва още пол, религия, местоживеене, рожденна дата, видове използвани устройства за достъп до Facebook, образование, месторабота, места, на които потребителят се е тагнал, последните 15 търсения в търсачката на Facebook и други чувствителни данни.

    За 1 млн. потребители уязвимостта не е довела до кражба на лични данни. Техните профили обаче също са били достъпни и с тях общият брой на засегнатите от атаката се качва до 30 млн.

    Как е осъществена атаката

    По данни на Facebook атаката е осъществена със скрипт, който подобно на верижна реакция е получавал достъп до профил на човек, след това на неговите приятели, след това на приятелите на техните приятели и т.н. Това е било възможно заради уязвимост във функцията View as.

    Обикновено тази функция се използва, за да видите как изглежда профилът ви от името на ваш приятел. Но уязвимостта е направила възможно да се получи достъп до профила на човека, за когото се представяте с View as. Прочетете подробно описание на уязвимостта.

    За да експлоатират уязвимостта, хакерите най-напред са получили достъп до профилите на определено количество потребители. От там, следвайки принципа на верижната реакция, атаката е достигнала до общо 30 млн. души.

    Откраднати ли са чатове и лична кореспонденция

    Разследването на Facebook не е открило доказателства, че организаторите на атаката са можели да четат чатовете на хакнатите потребители. Има само едно изключение и то се отнася за потребителите, които са администратори на Facebook страница. Ако по времето на атаката Facebook страницата е получавала съобщения от потребители, хакерите са можели да прочетат кореспонденцията.

    Как да разбера дали профилът ми е засегнат

    Към момента Facebook е предприела мерки и за потребителите вече няма опасност от изтичане на лични данни. Ако искате да разберете дали сте пострадали от атаката, отворете този линк (преди това трябва да сте влезли във Facebook).

    Ако профилът ви не е засегнат, ще видите следното съобщение:

     

  • Няма данни за злоупотреби с приложения, използващи Facebook Login

    Няма данни за неоторизиран достъп до мобилни приложения, използващи функцията Facebook Login. Това съобщи компанията-собственик на социалната мрежа Facebook. Mиналата седмица тя разкри хакерска атака срещу 50 млн. свои потребители.

    „Анализирахме данните за всички външни приложения, които са били инсталирани или логнати по време на атаката. Досега разследването ни не е открило доказателства, че организаторите на атаката са достъпили други приложения чрез Facebook Login“, обяви Гай Роузън, вицепрезидент „Продукти“ във Facebook.

    Какъв е проблемът

    Едно от основните опасения беше, че организаторите на атаката са имали достъп не само до Facebook профилите на засегнатите потребители, но и до други приложения. Става дума за приложения, които използват Facebook Login. Това е функция, която ви позволява да се логвате във външни приложения като Tinder или Spotify, използвайки профила си във Facebook.

    На теория това означава, че е било възможно да се получи достъп и до тези приложения, някои от които съдържат лични данни, разговори, функции за извършване на разплащания и т.н. Досега такива злоупотреби не са разкрити от Facebook.

    Атаката беше обявена от Facebook късно на 28 септември. Тя е свързана с уязвимост около функцията View as, която ви позволява да видите как изглжда профила ви в социалната мрежа през погледа на друг потребител. Уязвимостта позволява да се получи достъп до чужд профил, без да е необходимо да се въведе парола.

    Милиони засегнати

    Като превантивна мярка Facebook служебно изключи от профилите им засегнатите 50 млн. души. Същото се случи с още 40 млн. потребители, чиито профили са били използвани за разглеждане в режим View as. Всички тези 90 млн. потребители трябваше да влязат отново в профилите си във Facebook и всички други приложения, в които са се логвали с Facebook Login.

    От Facebook посочват, че разработчиците, които използват официалния SDK на компанията за Android, iOS и JavaScript, са защитени. За онези разработчици, които използват други SDK, Facebook разработва инструмент, с който те ще могат да идентифицират засегнати потребители.

    Неизвестни последствия

    Все още не е ясно каква е демографията на засегнатите профили. Според ирландската Data Protection Commission Ireland (местният аналог на Комисията за защита на личните данни) под 10% от хакнатите 50 млн. профили са на европейкси граждани. Ирландският регулатор ще трябва да вземе отношение по казуса, тъй като европейкста централа на Facebook е в Дъблин. Предвид огромното количество засегнати профили компанията вероятно ще попадне под ударите на директивата за защита на личните данни GDPR.

  • Потенциалната кражба на Facebook акаунти се простира много извън Facebook

    Новооткритата уязвимост във Facebook, която засяга поне 50 млн. потребители, вероятно ще нанесе поражения и на дигиталната им идентичност извън социалната мрежа. Причината е, че уязвимостта засяга и мобилните приложения, в които потребителите се регистрират със своя Facebook профил.

    Тази функция се нарича Facebook Login и е популярна опция за регистрация в различни мобилни приложения като Tinder, Instagram и т.н. Според Гай Роузън, вицепрезидент “Продукти” във Facebook, засегнатите 50 млн. потребители ще трябва ръчно да свържат наново своите профили в тези приложения с Facebook.

    Проблемът тепърва ще расте 

    Засега социалната мрежа не съобщава дали има случаи на злоупотреби на потребителски профили, но мащабите на проблема стават значително по-големи. Facebook Login се използва от много приложения и дори се препоръчва като сигурен начин за достъп до определена онлайн услуга или мобилно приложение. На теория е възможно уязвимостта във Facebook да доведе до това, че някой се логва в чужд профил в приложение, изпраща съобщения от негово име, прави покупки и т.н.

    Прочетете още: Какво доведе до най-големия хак в историята на Facebook?

    Той е предпочитано средство за логин от над 50% от потребителите, които използват т.нар. Social login опции, предлагани още от Google, Twitter, LinkedIn и други компании. Освен, че пести доста време и е много по -удобна, тази опция е препоръчвана и като по-сигурния начин за създаване на профили и идентифициране на потребители пред различни сайтове и услуги.

    Официална статистика за броя засегнати услуги няма, тъй като няма и официална информация за броя сайтове и услуги, които се възползват от т.нар. Social Login или Single Sign-On. Ясно е обаче, че всички 90 млн. потребители (50-те млн. души, за чийто профили се знае, че са компроментирани, и още 40 млн. души, за чийто профили е използвана функцията View as…) ще трябва да сменят паролите си за достъп, преди да могат да достъпват външни услуги, за които са използвали Facebook Login. 

    Access Token-ът позволява използването на чужди акаунти. Това означава достъп и до други приложения на трети страни, използващи Facebook Login
    Гай Роузън, вицепрезидент “Продукти” във Facebook

    Очаквайте бум на фишинга

    Другият проблем, който може да се очаква, е вълна от спам кампании, която ще залее потребителите на Facebook, а вероятно и на услуги, използващи Facebook Login. Това не е необичайно: всеки път, когато бъде оповестена уязвимост, засягаща много потребители, спамърите се активизират и организират фишинг кампании. Възможно е например да получите фишинг имейл със следното съдържание:

    “Във връзка с новооткритата уязвимост във Facebook трябва да направите някои промени в профила си. Моля, въведете паролата си тук.

    Поздрави,

    Eкипът на Facebook”

    Тъй като потребителите са чули за уязвимостта и очакват да получат подобно съобщение от Facebook, те са много по-склонни да се доверят на фишинг кампанията и да станат нейна жертва. Не откликвайте на подобни съобщения. 

    Прочетете още: Минимум 50 млн. потребители засегнати от уязвимост във Facebook

    “Когато имаш толкова значим пробив в сигурността, вероятно веднага ще се появят фишинг атаки, които ще искат от потребителите да сменят паролите си за Facebook. Важно е да сте много внимателни, да следвате само инструкциите на Facebook в сайта и мобилното приложение, но да не се доверявате на имейли, чийто произход не можете да установите”, коментират от компанията за кибер сигурност CENTIO.

    [box type=“success“ align=“alignleft“ class=““ width=““]

    Съвети за потребители:

    • Не изпращайте паролата си за Facebook на никого, дори и да се представя за служител на социалната мрежа;
    • Не отваряйте линкове към портали за смяна на пароли във Facebook;
    • Използвайте антивирусен софтуер с антиспам и антифишинг защита;

    [/box]

     

     

  • Какво доведе до най-мащабната уязвимост в историята на Facebook?

    Последен ъпдейт на 15 октомври 2018 в 15:32 ч.

    Макар и твърде рано (буквално часове) след оповестяването на най-големия хак в историята на Facebook, започнаха да се появяват теории за причинните, довели до най-големия хак в историята на социалната мрежа. Личните данни на над 50 млн. потребителя са били компроментирани поради уязвимост, започнала през юли 2017 г.

    Официалната информация на компанията гласи, че разследването все още тече – но е ясно, че функцията View as (Покажи като) е позволява генерирането на Access Token (буквално – ключове за достъп) до чужди профили. Според блога за сигурност Naked Security кражбата на един Access Token означава, че един потребител може да се сдобие с достъп до профила на свой приятел, след което да използва този достъп и със същата механика да достъпва профилите на приятелите на приятелите си – и т.н.

    Прочетете още: Минимум 50 млн. потребители засегнати от уязвимост във Facebook

    Комбинация от бъгове

    Технически атаката най-вероятно е станала възможна заради комбинация от няколко уязвимости.

    Едната се крие във функция на Facebook, която ви позволява да честитите рождения ден на ваш приятел, като публикувате нещо не стената му. В режим View As тази функция не би трябвало да е активна. Оказва се обаче, че е било възможно да публикувате видео, докато сте в режим View As.

    Втората уязвимост е, че при публикуването на видео в режим View As, платформата е генерирала Access Token, който е имал привилегиите на мобилното приложение на Facebook.

    Третата уязвимост е, че генерираният токен е имал привилегии не за вашия профил, а за профила на човека, за когото се представяте в режим View As.

    Механиката на кражбата

    Тези три уязвимости са направили възможен следния сценарий.

    1. Да кажем, че искате да видите как изглежда профила ви през очите на вашия приятел Борис.
    2. Докато сте в режим View As, уязвимостта позволява да публикувате на собствената си стена публикация: въпреки, че това не би трябвало да е възможно.
    3. Ако решите да го направите, Facebook създава Access Token. Той обаче не е за вашия профил, а за профила за Борис.
    4. Токенът е скрит в HTML кода на страницата и може да бъде взет от там.
    5. Така на практика се сдобивате с ключ към профила на Борис.

    Щетите са отвъд Facebook

    Часове след като уязвимостта беше обявена публично, стана ясно, че тя вероятно ще се отрази и на други онлайн услуги като Spotify и Airbnb. Става дума за услуги, които използват функцията Facebook Login – възможността да се регистрирате в онлайн услуги, използвайки данните си за достъп от Facebook.

    Прочетете още: Кражбата на Facebook акаунти се простира много извън Facebook

    В някои мобилни приложения използването на Facebook дори е неизбежно – например, Tinder.

    Специалисти по кибер сигурност предупреждават и за вълни от фишинг атаки, които ще последват след новината за кражбата на онлайн идентичност.

     

     

  • Минимум 50 млн. потребители засегнати от уязвимост във Facebook

    Пробойна в сигурността на най-голямата социална мрежа в света Facebook е станала причина за компроментирането на поне 50  млн. акаунта, съобщиха от компанията в специална публикация, озаглавена просто Security Update. Още 40 млн. души ще трябва принудително да въведат отново потребителското име и паролата си, тъй като може да са станали жертва на пробива.

    С 90 млн. потенциални жертви (множество от които от България), това е най-големият пробив в сигурността на Facebook, който е публично оповестен.

    Каква е причината за хакването?

    Оксиморонното в цялата ситуация е, че пробойната се дължи на функция, която е създадена с цел да помогне на потребителите да защитават по-добре личните си данни – View as (Виж като). Благодарение на нея, всеки може да провери как изглежда личният му профил през очите на друг потребител – бил то него приятел или не. Така лесно може да прецените дали, например, не споделяте твърде много за себе си с непознати.

    Прочетете още: Какво доведе до най-големия хак в историята на Facebook?

    Според официалната публикация в блога на Facebook, извършвайки подобна проверка, може да бъдат откраднат т.нар. Access Token. Това е „еквивалент на цифров ключ, който позволява на потребителите да остават логнати във Facebook, за да не се налага да въвеждат отново паролата си всеки път, когато използват приложението,“ обясняват от социалната мрежа. Кражбата на този Access Token, обаче, позволява и придобиването на контрол върху чужди акаунти – какъвто е случаят с 50 млн. потребители.

    Какви са последствията – официално?

    Facebook съобщава за 3 основни последици от открития проблем:

    • Уязвимостта е отстранена и са уведомени властите;
    • access token-ите на засегнатите 50 млн. доказано засегнати потребители и още 40 млн. души, чийто профили са били преглеждани посредством View as функционалността през последната година, са ресетнати. Резултатът от това е, че всички те ще трябва отново да въведат потребителското име и паролата си при влизане в сайта;
    • функционалността View as е спряна временно до приключване на детайлното разследване.

    Причина за уязвимостта е корекция, свързана с видео функционалността на социалната мрежа през 2017 г. – а самата пробойна е открита на 25 септември.

    Как да разбера дали съм хакнат?

    Първият белег, по който може да познаете, че с акаунта ви има проблем, е необходимостта да се логнете отново във Facebook профила си. Това, обаче, не означава, че сте сред засегнатите 50 млн. Сигурен белег, че с профила ви има проблем, е съобщение в началната страница след влизането в профила ви, в което се обяснява детайлно каква е причината за проблема и необходимостта да се идентифицирате отново пред социалната мрежа.

    Прочетете още: Кражбата на Facebook акаунти се простира много извън Facebook

    Докато не се логнете отново във Facebook, няма да може да използвате и свързани приложения, за които сте се регистрирали с Facebook Login функцията.

    [box type=“warning“ align=“alignleft“ class=““ width=““]

    Какво да правя, ако профилът ми е компроментиран?

    Ако ви се е наложило да се логнете отново във Facebook профила си днес, проверете за съмнителни активности:

    1. Вижте логовете си в Messenger – проверете за съмнителни чатове, които не помните, както с близки така и с хора, които не познавате и проверете историята на разговорите си с тях
    2. Проверете за съмнителна активност в профила си и местата и устройствата, от които е отчетена последно активност посредством функцията Security and login в настройките на профила си. Препоръчваме да излезете от всички устройства като настинете бутона „Log out of all sessions“, след което сменете паролата си и влезте отново. Желателно е активирате и опцията Use two-factor authentication (2-факторна автентикация)
    3. Проверете списъка с приложения и сайтове, до които е даден достъп до профила ви посредством менюто Apps and websites – и спрете достъпа до всички такива, които не познавате
    4. Проверете списъка с приятелите си, за да видите дали сред тях има такива, които не познавате – и ги отстранете

    [/box]

    Какви могат да бъдат последствията – реално?

    Кражбата на самоличността ви крие много рискове от злоупотреби с профила ви, които могат да доведат до реални последици за вас и близките ви – затова, не пренебрегвайте риска.

    Хакван ли е Facebook досега?

    Не и в такъв мащаб. Най-големият известен пробив до момента е от ноември 2011 г., когато бяха засегнати 200 000 души.

     

Back to top button