Facebook

  • Защо няма да участвам в #10YearChallenge на Facebook?

    Няма дим без огън. Затова, когато става въпрос за каквато и да било компания във Facebook, конспиративните теории не спират да валят.

    Което ме кара да се замисля: дали хаштагът #10YearChallengeи кампанията свързана с него са просто случайност?

    За тези, които не са онлайн в най-голямата социална мрежа в България и света, става въпрос за кампания, която набра популярност през последните дни. Основната ѝ цел: да публикувате колаж, в който има ваша снимка от преди 10 години и днес – и в описанието на колажа да добавите хаштага #10YearChallenge.

    Дали това е организирана кампания – не можем да знаем.

    Може ли да бъде използвана за нещо повече от просто забавление? О, да.

    Причина 1

    За какво може да бъде използвана? Първото нещо, което ми хрумва, е да помогнем на Facebook, Twittter, Instagram (т.е. Facebook) в обучението на алгоритмите им за разпознаване на лица.

    #10YearChallenge е златна мина за снимков материал, благодарение на който да се изгради модел по който хората се променят за определен период. Златна мина, защото потребителите доброволно споделят:

    • истински снимки на лицата си – което не винаги е вярно за профилните снимки
    • свои снимки през определен период от време – 10 години – което не винаги е вярно при споделянето на снимки по принцип (снимка от 2012 може да качите през 2018 г. и софтуерът няма как да знае точната дата на заснемане)
    • снимки, обединени с един хаштаг – което улеснява значително търсенето
    • снимки, които са форматирани по определен начин – от едната страна снимката ми от днес, а от другата – отпреди 10 години, което допълнително улеснява обработката и самообучението

    Затова, параноично или не, ще се въздържа да споделям свои снимки от преди 10 години и сега.

    Причина 2

    Защото, ако публикувам снимка с хаштаг #10YearChallenge и, ако забравя да променя настройките за поверителността ѝ, ще попадна сред морето от други хора, които са използвали хаштага. И може някой, който не искам, да разбере за съществуването ми – което не винаги е препоръчително.

    Затова, преди да публикувате, прочетете как да предпазите дигиталната си самоличност през 2019 г. и следвайте съветите в него.

  • Външни приложения са получили неоторизиран достъп до снимки на 6.8 млн. потребители на Facebook

    Бъг във Facebook е позволявал на външни разработчици да получат достъп до снимките на 6.8 млн. потребители на социалната мрежа. Става дума за снимки, до които външните разработчици обикновено нямат достъп: например публикации в Marketplace и дори непубликувани снимки.

    „Проблемът вече е решен, но между 13 и 25 септември някои външни приложения са имали достъп до повече снимки от обикновено“, съобщават от Facebook. Според компанията уязвимостта е дала достъп на 1500 приложения до снимките на потребителите.

    Какъв е проблемът

    Обикновено приложенията, които искат достъп до снимките във Facebook, получават такъв само за албума Timeline (изображенията, които потребителите публикуват на стените си). Но бъгът е позволил на приложенията да получат достъп и до други снимки в профилите, като например публикуваните в Marketplace или Stories.

    Според Facebook е било възможно да се получи достъп дори до снимки, които не са публикувани. Това са изображения, които потребителят не е успял да качи в профила си по една или друга причина – например спиране на достъпа до интернет.

    Засегнат ли е профилът ви

    Ако профилът ви е засегнат, Facebook ще ви изпрати предупреждение за това. Можете също така да проверите дали профилът ви е засегнат по някакъв начин на тази страница.

    Поредната уязвимост

    Това е поредната уязвимост, позволяваща изтичане на данни за потребители на Facebook. През септември социалната мрежа съобщи за проблем, който е позволил кражбата на лични данни на 29 млн. потребители. Авторите на атаката са злоупотребили с бъг във функцията View As, който позволява да получите достъп до информация в чужди профили.

    През април Facebook закри функцията за търсене на потребители по имейл адрес или телефонен номер, след като разкри, че с нея се злоупотребява. Тогава съоснователят на Facebook Марк Закърбърг направи шокиращото предположение, че „ако функцията е била включена, данните ви в някакъв момент са попаднали в някого“. „Предвид мащабите на активността, която наблюдаваме, ние смятаме, че повечето потребители на Facebook са били застрашени от кражба на лични данни“, съобщи компанията в официално изявление.

  • Какво знаят интернет гигантите за вас

    Последен ъпдейт на 12 декември 2018 в 16:56 ч.

    Социалните мрежи събират огромно количество лични данни за потребителите си. Достатъчно е да дадем за пример Facebook, която знае почти всичко за вас: кои са приятелите ви, какви са вашите интереси, какви са религиозните и политическите ви възгледи, какви места сте посещавали, кои са най-важните събития в живота ви.

    Съгласно GDPR всяка компания, която събира лични данни за европейски граждани, трябва да им даде възможност да поискат копие от тези данни (и да им го предостави, когато си го поискат). Компаниите, които управляват социални мрежи, не са изключение. В съответствие с GDPR те дават възможност на всеки потребител да изтегли копие от личните си данни, които социалната мрежа е събрала за него.

    В тази статия ще разгледаме как потребителите могат да свалят копие на личните си данни от 4 от най-популярните социални мрежи в света.

    Facebook

    Хегемонът в социалните мрежи е вероятно най-голямата база данни за хора в света. Както показва скандалът с Cambridge Analytica, данните от Facebook могат да се използват дори за манипулиране на избори и вземане на важни за обществото решения като Brexit. Социалната мрежа има информация за събития, места, приятели, интереси на своите потребителите. А в някои случаи – дори с кого са си говорили по телефона.

    Ето как да видите с какви данни за вас разполага Facebook.

    От основното меню във вашия профил (триъгълната икона в горния десен ъгъл) изберете:

    Settings > Your Facebook Information > Download Your Information > View

    Тук можете да направите фини настройки на данните, които искате да свалите: например формат, качество на снимките, изобор на данни само за определен период. Потвърдете избора си с Create File.

    Ще получите известие, когато файлът с вашите данни е готов за сваляне. За да го изтеглите, отидете в:

    Settings > Your Facebook Information > Download Your Information > Available Files > Download

    Ще трябва да въведете паролата си за Facebook, преди свалянето да започне.

    Instagram

    Instagram държи архив с вашите снимки, видеа, истории, харесвания, съобщения. В събраните за вас данни има също информация за нещата, които сте търсили в социалната мрежа, вашите коментари и контакти.

    Влезте в настройките на вашия Instagram профил (зъбчатото колело) и изберете:

    Privacy & Security > Data Download > Request Download

    На този етап Instagram ще поиска да въведете имейл адрес, на който да изпрати линк към вашите данни, както и да напишете паролата си за достъп до вашия Instagram профил.

    Ще получите имейл, от който можете да свалите копие на данните си.

    LinkedIn

    LinkedIn събира на едно място голяма част от професионалния ви живот. Данните включват вашите професионални умения, телефонни номера, заемани длъжности, интереси, говорими езици, проекти, в които сте участвали, и много друга информация (пълен списък на данните има тук).

    Влезте в профила си в LinkedIn и изберете иконката Me (в горния десен ъгъл, с вашата профилна снимка). От там изберете:

    Settings & Privacy > Privacy > How LinkedIn uses your data > Change

    Можете да избирате какви категории данни искате да получите: например контакти и връзки с други потребители, съобщения, препоръки, покани, информация от профила и т.н. Потвърдете избора си с Request Data. Ще трябва да въведете паролата си за достъп до LinkedIn. данните се изпращат с два имейла – първият съдържа основната информация в профила, а вторият – други данни като например коментари в групи или мобилни устройства, на които е активирано LinkedIn приложение с вашия профил.

    Twitter

    Twitter дава възможност да изтеглите копие на данните от вашия профил; съобщенията, които си обменяте с други потребители, медийни файлове, които сте качили, списък на последователите ви. Информацията включва и списъци, които сте създали или в които участвате, информацията за интересите ви; също и рекламите, които сте видели или кликнали.

    За да свалите данните, натиснете иконата на профила си и изберете:

    Settings and privacy > Your Twitter archive > Request your archive

    Google

    Търсачката Google и множеството продукти, които притежава – сред които са сайтът за видеосподеляне Youtube и браузърът Chrome – също пази огромен архив от данни за потребителите си. Можете да свалите копие от данните, които Google притежава за вас.

  • Пет лесни начина да защитите профилите си в социалните мрежи от хакери

    Социалните мрежи повече или по-малко са дигитални копия на вашата самоличност. Те съдържат информация за вашите приятели, вашата комуникация, вашите спомени: всичко, което е ценно за самите вас.

    Това обяснява защо хакването на профили в социалните мрежи е толкова популярно. Те съдържат огромно количество лични данни, които струват пари.

    Никой не е застрахован от кражба на профил. Има обаче няколко прости правила, които могат да ви помогнат да намалите вероятността това да се случи и с вас.

    Използвайте силни пароли и ги сменяйте често

    Изборът на трудна за отгатване парола е базово правило, което много потребители все още не спазват. Хората са предсказуеми и избират лесни за познаване пароли: имена на деца, домашни любимци, ЕГН, любим футболен отбор…Дори няма да споменаваме комбинацията 123456, която официално е най-лесната за разбиване парола в света.

    „Пълна сигурност няма, но има няколко стъпки, които могат да намалят рисковете от атака. Една от тях е да спазваме хигиена и да избираме трудни за разбиване пароли, които периодично променяме“, коментира Христо Ласков, ИТ анализатор и автор във FreedomOnline.bg.

    Изберете парола с дължина поне 8 символа, която включва малки и големи букви, числа и символи (например ^). Можете да изберете и комбинация от думи, за да запомните паролата по-лесно.

    Не е достатъчно само да имате силна парола. Трябва да я сменяте често. Обикновено се препоръчва да сменяте паролата си на всеки 6 месеца. Това ще намали риска някой да получи достъп до профила ви, дори и да разполага с ваша стара парола.

    Използвайте двуфакторна автентикация

    Двуфакторната автентикация осигурява втори слой на защита за профила ви (първият е паролата). Когато двуфакторната автентикация е включена, профилът ви не може да бъде достъпен само с парола.

    След въвеждането на паролата собственикът получава на смартфона си код за еднократна употреба, който трябва да въведе, за да влезе в профила си. Така, дори някой да знае паролата за вашия профил, той не може да влезе в него, ако не разполага физически със смартфона ви.

    Повечето социални мрежи като Facebook и Instagram предлагат двуфакторна автентикация, необходимо е само да я активирате. Имате възможност да получавате еднократните кодове за достъп като SMS или да ги генерирате на момента чрез допълнително приложение.

    Научете се да разпознавате фишинг

    Фишингът продължава да е една от най-големите заплахи в интернет както за бизнеса, така и за индивидуалните потребители. Това е тактиката да се изпращат линкове към зловредни сайтове, които имитират легитимни страници за въвеждане на данни (например точно копие на заглавната страница на Facebook).

    Авторът на фишинг атаката се опитва да убеди жертвата си да въведе своите данни за достъп на фалшивата страница. Така той ги открадва и може да ги използва, за да получи достъп до чуждия профил.

    Основно правило е никога да не въвеждате лични данни в страници, които са ви изпратени по имейл. Ако трябва да въвеждате данни, отворете адреса на сайта, а не го отваряйте чрез предоставения в имейла линк.

    Можете също така да прочетете нашия наръчник за разпознаване на фишинг атаки.

    Не влизайте в профила си от публични компютри

    Публичните компютри са навсякъде: в библиотеката, в офиса, в училища и университети, в заведения и т.н. Въздържайте се да ги използвате, за да влизате от тях в профилите си в социалните мрежи. Причината е, че не знаете какъв софтуер е инсталиран на тези компютри.

    Възможно е на тях да има инсталиран т.нар. keylogger – софтуер, който записва всички въведени от клавиатурата символи.  Възможно е компютърът вече да е хакнат и цялата активност на него да се следи.

    Когато използвате публично достъпен компютър, винаги го правете с мисълта, че е възможно да е компрометиран. Не използвайте такива устройстви, за да въвеждате чувствителни данни, да банкирате онлайн, да правите покупки и т.н.

    Не запаметявайте пароли в браузъра

    Запаметяването на пароли в браузъра е удобно, но не е безопасно. Ако някой друг има достъп до устройството, той може да види запаметената парола и да я използва, за да влезе в профила ви.

    Дори и без физически достъп запаметената парола може да бъде открадната. Някои видове малуер проверяват за запаметени пароли, копират ги и ги изпращат към команден сървър, от където могат да бъдат използвани за злоупотреби.

    Ако имате много и различни пароли (а добрата практика изисква да използвате различна парола за всеки профил) можете да използвате софтуер за управление на пароли (password manager).

  • Facebook Zero Day: Какви данни са откраднали хакерите?

    Личните данни на 29 млн. души са били откраднати заради уязвимост във Facebook, съобщи компанията-собственик на социалната мрежа. Първоначалните прогнози бяха, че атаката е засегнала поне 50 млн. потребителски профили.

    Колко профили са засегнати

    Организаторите на атаката са получили достъп до имената, телефонните номера и имейлите на 15 млн. потребители.

    За други 14 млн. потребители те са събрали много по-детайлна информация. Освен име, телефонен номер и имейл, тази информация включва още пол, религия, местоживеене, рожденна дата, видове използвани устройства за достъп до Facebook, образование, месторабота, места, на които потребителят се е тагнал, последните 15 търсения в търсачката на Facebook и други чувствителни данни.

    За 1 млн. потребители уязвимостта не е довела до кражба на лични данни. Техните профили обаче също са били достъпни и с тях общият брой на засегнатите от атаката се качва до 30 млн.

    Как е осъществена атаката

    По данни на Facebook атаката е осъществена със скрипт, който подобно на верижна реакция е получавал достъп до профил на човек, след това на неговите приятели, след това на приятелите на техните приятели и т.н. Това е било възможно заради уязвимост във функцията View as.

    Обикновено тази функция се използва, за да видите как изглежда профилът ви от името на ваш приятел. Но уязвимостта е направила възможно да се получи достъп до профила на човека, за когото се представяте с View as. Прочетете подробно описание на уязвимостта.

    За да експлоатират уязвимостта, хакерите най-напред са получили достъп до профилите на определено количество потребители. От там, следвайки принципа на верижната реакция, атаката е достигнала до общо 30 млн. души.

    Откраднати ли са чатове и лична кореспонденция

    Разследването на Facebook не е открило доказателства, че организаторите на атаката са можели да четат чатовете на хакнатите потребители. Има само едно изключение и то се отнася за потребителите, които са администратори на Facebook страница. Ако по времето на атаката Facebook страницата е получавала съобщения от потребители, хакерите са можели да прочетат кореспонденцията.

    Как да разбера дали профилът ми е засегнат

    Към момента Facebook е предприела мерки и за потребителите вече няма опасност от изтичане на лични данни. Ако искате да разберете дали сте пострадали от атаката, отворете този линк (преди това трябва да сте влезли във Facebook).

    Ако профилът ви не е засегнат, ще видите следното съобщение:

     

  • Кои са най-големите пробиви на лични данни за първото полугодие на 2018 г.

    Социалната мрежа Facebook e най-големият източник на компрометирани лични данни през първата половина на 2018 г. Това показват резултатите от последното проучване на Breach Level Index.

    През първото полугодие на годината са компрометирани над 4.5 млрд. записа на лични данни, показва изследването, което се провежда от компанията за киберсигурност Gemalto. Почти половината от тях (2.2 млрд. записа) се дължат на функция във Facebook. Тя позволява да се идентифицира потребител чрез неговия телефонен номер или имейл.
    [tie_index]Уязвими от години[/tie_index]

    Уязвими от години

    Парадоксалното е, че функцията съществува от години. Тя ви позволява да въведете в търсачката на Facebook телефонния номер на конкретен човек и така да откриете профила му, без да знаете нищо друго за него.

    Едва през април 2018 г. Facebook обяви, че с тази функция се злоупотребява от много време. „Предвид мащабите на активността, която наблюдаваме, ние смятаме, че повечето потребители на Facebook са били застрашени от кражба на лични данни“, съобщиха тогава от компанията.

    След като Facebook обяви публично за опасността от изтичане на данни, функцията беше деактивирана. Дотогава тя можеше да бъде изключена ръчно от настройките на профила, но няма информация каква част от потребителите са се сетили да го направят. „Бих предположил, че ако функцията е била включена, данните ви в някакъв момент са попаднали в някого“, заяви Марк Закърбърг, основател и главен изпълнителен директор на Facebook.
    [tie_index]Един от много пробиви[/tie_index]

    Един от много пробиви

    Социалната мрежа разполага с 2.2 млрд. потребители, което слага този инцидент на върха в класацията на Breach Level Index. Освен него тази година Facebook беше забъркана и в още поне два скандала с изтичане на лични данни.

    Единият се завъртя около компанията за анализ на данни Cambridge Analytica. Самата Facebook призна, че Cambridge Analytica е използвала социалната мрежа, за да събере данни за 87 млн. нейни потребители.

    Другият избухна в края на септември и не попада в разглеждания от проучването период. Тогава Facebook обяви, че данните на 50 млн. потребители са били достъпени заради уязвимост във функцията View as.
    [tie_index]Пробивите намаляват, компрометираните данни се увеличават[/tie_index]

    Пробивите намаляват, компрометираните данни се увеличават

    На световно ниво през първото полугодие на 2018 г. са разкрити общо 945 пробива на лични данни, което е с 18% по-малко спрямо същия период на предходната година. Като обем на засегнати потребителски профили обаче бройката се увеличава със 133% до 4.5 млрд. и основната причина за това е именно събирането на данни през търсачката на Facebook.

    Общо 56% от всички пробиви на данни са причинени от външно лице, а около една трета се дължат на случайна загуба – например изгубен лаптоп или незащитена база данни.
    [tie_index]Най-големите пробиви на данни според Breach Level Index[/tie_index]
    [box type=“warning“ align=“alignleft“ class=““ width=““]

    Най-големите пробиви на данни според Breach Level Index*

    Какво и защо причинява изтичането на огромни количества лични данни? Breach Level Index дава за пример четирите най-големи пробива за полугодието.

    1. Facebook

    Засегнати потребители: 2.2 млрд.

    Социалната мрежа откри, че външни лица използват функцията за откриване на потребители чрез телефонни номера, за да събират лични данни. Класирането е направено не само на база броя на засегнатите потребители, но и на сериозността на пробива.

    2. Aadhaar

    Засегнати потребители: 1.2 млрд.

    Индийската система за раздаване на идентификационни номера беше хакната, а авторите на атаката започнаха да продават достъп до нея. Оказа се, че всеки може да си плати, за да получи име, адрес, телефонен номер и снимка на някой от 1.2 млрд. жители на Индия.

    3. Exactis

    Засегнати потребители: 340 млн.

    В края на юни експертът по информационна сигурност Вини Троя съобщи, че е открил незащитена база данни на Exactis – компания, която събира данни и ги продава за маркетингови цели.

    4. Under Armour

    Засегнати потребители: 150 млн.

    В края на март производителя на спортни стоки съобщи, че някой е получил неоторизиран достъп до MyFitnessPal. Това е платформа, с която потребителите могат да следят храненето и спортната си активност.

    *Данните са за първото полугодие на 2018 г.[/box]

  • Потенциалната кражба на Facebook акаунти се простира много извън Facebook

    Новооткритата уязвимост във Facebook, която засяга поне 50 млн. потребители, вероятно ще нанесе поражения и на дигиталната им идентичност извън социалната мрежа. Причината е, че уязвимостта засяга и мобилните приложения, в които потребителите се регистрират със своя Facebook профил.

    Тази функция се нарича Facebook Login и е популярна опция за регистрация в различни мобилни приложения като Tinder, Instagram и т.н. Според Гай Роузън, вицепрезидент “Продукти” във Facebook, засегнатите 50 млн. потребители ще трябва ръчно да свържат наново своите профили в тези приложения с Facebook.

    Проблемът тепърва ще расте 

    Засега социалната мрежа не съобщава дали има случаи на злоупотреби на потребителски профили, но мащабите на проблема стават значително по-големи. Facebook Login се използва от много приложения и дори се препоръчва като сигурен начин за достъп до определена онлайн услуга или мобилно приложение. На теория е възможно уязвимостта във Facebook да доведе до това, че някой се логва в чужд профил в приложение, изпраща съобщения от негово име, прави покупки и т.н.

    Прочетете още: Какво доведе до най-големия хак в историята на Facebook?

    Той е предпочитано средство за логин от над 50% от потребителите, които използват т.нар. Social login опции, предлагани още от Google, Twitter, LinkedIn и други компании. Освен, че пести доста време и е много по -удобна, тази опция е препоръчвана и като по-сигурния начин за създаване на профили и идентифициране на потребители пред различни сайтове и услуги.

    Официална статистика за броя засегнати услуги няма, тъй като няма и официална информация за броя сайтове и услуги, които се възползват от т.нар. Social Login или Single Sign-On. Ясно е обаче, че всички 90 млн. потребители (50-те млн. души, за чийто профили се знае, че са компроментирани, и още 40 млн. души, за чийто профили е използвана функцията View as…) ще трябва да сменят паролите си за достъп, преди да могат да достъпват външни услуги, за които са използвали Facebook Login. 

    Access Token-ът позволява използването на чужди акаунти. Това означава достъп и до други приложения на трети страни, използващи Facebook Login
    Гай Роузън, вицепрезидент “Продукти” във Facebook

    Очаквайте бум на фишинга

    Другият проблем, който може да се очаква, е вълна от спам кампании, която ще залее потребителите на Facebook, а вероятно и на услуги, използващи Facebook Login. Това не е необичайно: всеки път, когато бъде оповестена уязвимост, засягаща много потребители, спамърите се активизират и организират фишинг кампании. Възможно е например да получите фишинг имейл със следното съдържание:

    “Във връзка с новооткритата уязвимост във Facebook трябва да направите някои промени в профила си. Моля, въведете паролата си тук.

    Поздрави,

    Eкипът на Facebook”

    Тъй като потребителите са чули за уязвимостта и очакват да получат подобно съобщение от Facebook, те са много по-склонни да се доверят на фишинг кампанията и да станат нейна жертва. Не откликвайте на подобни съобщения. 

    Прочетете още: Минимум 50 млн. потребители засегнати от уязвимост във Facebook

    “Когато имаш толкова значим пробив в сигурността, вероятно веднага ще се появят фишинг атаки, които ще искат от потребителите да сменят паролите си за Facebook. Важно е да сте много внимателни, да следвате само инструкциите на Facebook в сайта и мобилното приложение, но да не се доверявате на имейли, чийто произход не можете да установите”, коментират от компанията за кибер сигурност CENTIO.

    [box type=“success“ align=“alignleft“ class=““ width=““]

    Съвети за потребители:

    • Не изпращайте паролата си за Facebook на никого, дори и да се представя за служител на социалната мрежа;
    • Не отваряйте линкове към портали за смяна на пароли във Facebook;
    • Използвайте антивирусен софтуер с антиспам и антифишинг защита;

    [/box]

     

     

  • Какво доведе до най-мащабната уязвимост в историята на Facebook?

    Последен ъпдейт на 15 октомври 2018 в 15:32 ч.

    Макар и твърде рано (буквално часове) след оповестяването на най-големия хак в историята на Facebook, започнаха да се появяват теории за причинните, довели до най-големия хак в историята на социалната мрежа. Личните данни на над 50 млн. потребителя са били компроментирани поради уязвимост, започнала през юли 2017 г.

    Официалната информация на компанията гласи, че разследването все още тече – но е ясно, че функцията View as (Покажи като) е позволява генерирането на Access Token (буквално – ключове за достъп) до чужди профили. Според блога за сигурност Naked Security кражбата на един Access Token означава, че един потребител може да се сдобие с достъп до профила на свой приятел, след което да използва този достъп и със същата механика да достъпва профилите на приятелите на приятелите си – и т.н.

    Прочетете още: Минимум 50 млн. потребители засегнати от уязвимост във Facebook

    Комбинация от бъгове

    Технически атаката най-вероятно е станала възможна заради комбинация от няколко уязвимости.

    Едната се крие във функция на Facebook, която ви позволява да честитите рождения ден на ваш приятел, като публикувате нещо не стената му. В режим View As тази функция не би трябвало да е активна. Оказва се обаче, че е било възможно да публикувате видео, докато сте в режим View As.

    Втората уязвимост е, че при публикуването на видео в режим View As, платформата е генерирала Access Token, който е имал привилегиите на мобилното приложение на Facebook.

    Третата уязвимост е, че генерираният токен е имал привилегии не за вашия профил, а за профила на човека, за когото се представяте в режим View As.

    Механиката на кражбата

    Тези три уязвимости са направили възможен следния сценарий.

    1. Да кажем, че искате да видите как изглежда профила ви през очите на вашия приятел Борис.
    2. Докато сте в режим View As, уязвимостта позволява да публикувате на собствената си стена публикация: въпреки, че това не би трябвало да е възможно.
    3. Ако решите да го направите, Facebook създава Access Token. Той обаче не е за вашия профил, а за профила за Борис.
    4. Токенът е скрит в HTML кода на страницата и може да бъде взет от там.
    5. Така на практика се сдобивате с ключ към профила на Борис.

    Щетите са отвъд Facebook

    Часове след като уязвимостта беше обявена публично, стана ясно, че тя вероятно ще се отрази и на други онлайн услуги като Spotify и Airbnb. Става дума за услуги, които използват функцията Facebook Login – възможността да се регистрирате в онлайн услуги, използвайки данните си за достъп от Facebook.

    Прочетете още: Кражбата на Facebook акаунти се простира много извън Facebook

    В някои мобилни приложения използването на Facebook дори е неизбежно – например, Tinder.

    Специалисти по кибер сигурност предупреждават и за вълни от фишинг атаки, които ще последват след новината за кражбата на онлайн идентичност.

     

     

  • Минимум 50 млн. потребители засегнати от уязвимост във Facebook

    Пробойна в сигурността на най-голямата социална мрежа в света Facebook е станала причина за компроментирането на поне 50  млн. акаунта, съобщиха от компанията в специална публикация, озаглавена просто Security Update. Още 40 млн. души ще трябва принудително да въведат отново потребителското име и паролата си, тъй като може да са станали жертва на пробива.

    С 90 млн. потенциални жертви (множество от които от България), това е най-големият пробив в сигурността на Facebook, който е публично оповестен.

    Каква е причината за хакването?

    Оксиморонното в цялата ситуация е, че пробойната се дължи на функция, която е създадена с цел да помогне на потребителите да защитават по-добре личните си данни – View as (Виж като). Благодарение на нея, всеки може да провери как изглежда личният му профил през очите на друг потребител – бил то него приятел или не. Така лесно може да прецените дали, например, не споделяте твърде много за себе си с непознати.

    Прочетете още: Какво доведе до най-големия хак в историята на Facebook?

    Според официалната публикация в блога на Facebook, извършвайки подобна проверка, може да бъдат откраднат т.нар. Access Token. Това е „еквивалент на цифров ключ, който позволява на потребителите да остават логнати във Facebook, за да не се налага да въвеждат отново паролата си всеки път, когато използват приложението,“ обясняват от социалната мрежа. Кражбата на този Access Token, обаче, позволява и придобиването на контрол върху чужди акаунти – какъвто е случаят с 50 млн. потребители.

    Какви са последствията – официално?

    Facebook съобщава за 3 основни последици от открития проблем:

    • Уязвимостта е отстранена и са уведомени властите;
    • access token-ите на засегнатите 50 млн. доказано засегнати потребители и още 40 млн. души, чийто профили са били преглеждани посредством View as функционалността през последната година, са ресетнати. Резултатът от това е, че всички те ще трябва отново да въведат потребителското име и паролата си при влизане в сайта;
    • функционалността View as е спряна временно до приключване на детайлното разследване.

    Причина за уязвимостта е корекция, свързана с видео функционалността на социалната мрежа през 2017 г. – а самата пробойна е открита на 25 септември.

    Как да разбера дали съм хакнат?

    Първият белег, по който може да познаете, че с акаунта ви има проблем, е необходимостта да се логнете отново във Facebook профила си. Това, обаче, не означава, че сте сред засегнатите 50 млн. Сигурен белег, че с профила ви има проблем, е съобщение в началната страница след влизането в профила ви, в което се обяснява детайлно каква е причината за проблема и необходимостта да се идентифицирате отново пред социалната мрежа.

    Прочетете още: Кражбата на Facebook акаунти се простира много извън Facebook

    Докато не се логнете отново във Facebook, няма да може да използвате и свързани приложения, за които сте се регистрирали с Facebook Login функцията.

    [box type=“warning“ align=“alignleft“ class=““ width=““]

    Какво да правя, ако профилът ми е компроментиран?

    Ако ви се е наложило да се логнете отново във Facebook профила си днес, проверете за съмнителни активности:

    1. Вижте логовете си в Messenger – проверете за съмнителни чатове, които не помните, както с близки така и с хора, които не познавате и проверете историята на разговорите си с тях
    2. Проверете за съмнителна активност в профила си и местата и устройствата, от които е отчетена последно активност посредством функцията Security and login в настройките на профила си. Препоръчваме да излезете от всички устройства като настинете бутона „Log out of all sessions“, след което сменете паролата си и влезте отново. Желателно е активирате и опцията Use two-factor authentication (2-факторна автентикация)
    3. Проверете списъка с приложения и сайтове, до които е даден достъп до профила ви посредством менюто Apps and websites – и спрете достъпа до всички такива, които не познавате
    4. Проверете списъка с приятелите си, за да видите дали сред тях има такива, които не познавате – и ги отстранете

    [/box]

    Какви могат да бъдат последствията – реално?

    Кражбата на самоличността ви крие много рискове от злоупотреби с профила ви, които могат да доведат до реални последици за вас и близките ви – затова, не пренебрегвайте риска.

    Хакван ли е Facebook досега?

    Не и в такъв мащаб. Най-големият известен пробив до момента е от ноември 2011 г., когато бяха засегнати 200 000 души.

     

  • Защо децата ви не трябва да говорят с непознати в Snapchat (и не само)

    Последен ъпдейт на 26 септември 2018 в 14:32 ч.

    С около 188 млн. потребители дневно Snapchat* е една от най-големите социални медии в света и предпочитано средство за комуникация сред деца и тийнейджъри. Една от функциите, заради които приложението е толкова популярно сред по-младите потребители, е възможността да изпратиш снимка или съобщение, което изчезва след определен период от време.

    Младежите използват тази функция, за да си изпращат голи снимки и нецензурни съобщения. Има обаче един проблем: в много случаи те въобще не знаят кой всъщност е получателят на съобщенията със сексуално съдържание. А това ги превръща в потенциална жертва на педофили и изнудвачи.

    Как действат престъпниците

    Това са хора, които си набелязват жертва и най-често се представят за неин връстник. Запознанството може да стане в интернет форум, в социална мрежа (например група във Facebook) или дори с няколко разменени коментара в сайт за видеосподеляне. След като е установил контакт, престъпникът се свързва с жертвата си в Snapchat. Комуникацията продължава с цел спечелване на доверие. Крайната цел е жертвата да бъде склонена да изпрати свои голи снимки или клипове.

    Разчитайки на анонимността на Snapchat – всичко изчезва, след като е публикувано – жертвата често няма никакви притеснения да изпълни исканията на другата страна в разговора.

    След като разполага с изображенията, престъпникът може да се опита да ги продаде в незаконен онлайн магазин за детска порнография.

    Друг често срещан сценарий е да поиска от жертвата си пари, за да не публикува снимките в интернет. Тази тактика се нарича sextortion и по същество е изнудване чрез заплаха от компромати със сексуален характер.

    Хиляди жертви

    Това е проблем, заради който само в САЩ има над 13 хил. оплаквания месечно, показват данните на ФБР*. Той обаче съвсем не засяга само Америка. Изнудването със сексуален характер се практикува и в България, а негови жертви мога да станат както момичета, така и момчета. Официална статистика за броя жертви у нас, обаче, няма.

    Престъпниците разполагат с достатъчно голям арсенал от канали за комуникация с потенциалните си жертви. “Сред най-популярните такива са приложенията като Snapchat и Viber, както и социалните мрежи Facebook и Instagram”,  се посочва в сайта за борба с киберпрестъпления Cybercrime.bg, който се поддържа от ГДБОП. Често се използва и Skype – заради възможността да се запише видео с жертвата, което след това може да се качи в сайт за видеосподеляне. Сайтовете за запознанства също са предпочитана платформа от престъпниците и те си правят фалшиви профили там.

    За добро или лошо онлайн комуникациите са навлезли дълбоко в начина, по който младите хора общуват. Няма начин как те да бъдат ограничени, освен ако планирате държите детето си напълно изолирано от компютри и лаптопи. Има антивирусни програми, с които можете да следите дейността на тийнейджърите в сайтовете за запознанства, както и да ограничавате мобилните приложения, които използват.

    Най-добрата превантивна мярка обаче е познаването на методите, с които киберпрестъпниците действат.

    * статистиката е на глобално ниво, за България не е налична информациоя

Back to top button