Facebook работает круглосуточно, чтобы исследовать проблему безопасности, которую он обнаружил и исправил две недели назад, поэтому платформа хочет помочь людям понять, к какой информации злоумышленники могли получить доступ. FB поделился подробностями о найденной атаке, которая воспользовалась уязвимостью. Он не исключил возможность маломасштабных атак, которые платформа продолжает расследовать.
Как уже ранее сообщалась, злоумышленники использовали уязвимость в коде Facebook, которая существовала между июлем 2017 года и сентябрем 2018 года. Уязвимость была результатом сложного взаимодействия трех различных программных ошибок, и она повлияла на ”вид как", функцию, которая позволяет людям видеть, как выглядит их собственный профиль для кого-то другого. Это позволило злоумышленникам украсть токены доступа Facebook, которые они могли бы использовать для захвата учетных записей людей. Маркеры доступа эквивалентны цифровым ключам, которые позволяют людям входить в систему Facebook, поэтому им не нужно повторно вводить пароль каждый раз, когда они используют приложение.
Вот, как FB нашел проблему:
1) Команда facebook увидела необычный всплеск активности, который начался 14 сентября 2018 года, и решили начать расследование.
2) 25 сентября команда определила, что это была за атака и уязвимость. В течение двух дней они закрыли эту "протечку", остановили атаку, обеспечив безопасность учетных записей пользователей, и сбросив маркеры доступа для потенциально уязвимых пользователей. В качестве меры предосторожности Facebook также отключил “view as.”
Теперь платформа знает, что пострадало меньше людей, чем команда первоначально думала. Из 50 миллионов людей, чьи токены доступа, по их мнению, были затронуты, около 30 миллионов фактически украли свои токены. Вот как это произошло:
Во-первых, злоумышленники уже контролировали набор аккаунтов, которые были подключены к Facebook друзей. Они использовали автоматическую технику для перехода от аккаунта к аккаунту, чтобы красть токены доступа этих друзей, друзей этих друзей и так далее, на общую сумму около 400 000 человек. Однако в процессе этот метод автоматически загружал профили Facebook этих учетных записей, отражая то, что эти 400 000 человек видели бы, глядя на свои собственные профили. Это включает в себя сообщения на их временных шкалах, их списки друзей, группы, в которые они вступили, и имена последних разговоров Messenger. Содержимое сообщения было недоступно злоумышленникам, за одним исключением. Если человек в этой группе был администратором страницы, чья страница получила сообщение от кого-то на Facebook, содержимое этого сообщения было доступно злоумышленникам.
Злоумышленники использовали часть списков друзей этих 400 000 человек, чтобы украсть токены доступа для около 30 миллионов человек. Для 15 миллионов человек злоумышленники получили доступ к двум наборам информации – имени и контактным данным (номер телефона, адрес электронной почты или оба, в зависимости от того, что люди имели в своих профилях). Для 14 миллионов человек злоумышленники получили доступ к тем же двум наборам информации, а также к другим сведениям, которые были в их профилях. Это включало имя пользователя, пол, локаль/язык, статус отношений, религию, родной город, самооценку текущего города, дату рождения, типы устройств, используемых для доступа к Facebook, образованию, работе, последние 10 мест, где они зарегистрировались или были помечены, веб-сайт, людей или страницы, на которые они следуют, и 15 последних поисков. Для 1 миллиона человек злоумышленники не получили никакой информации.
Люди могут проверить, были ли они затронуты, посетив справочный центр Facebook. В ближайшие дни он отправит индивидуальные сообщения 30 миллионам пострадавших, чтобы объяснить, к какой информации могли получить доступ злоумышленники, а также шаги, которые они могут предпринять, чтобы защитить себя, в том числе от подозрительных электронных писем, текстовых сообщений или звонков.
