De beveiligingslek die op 25 september door ingenieurs van Facebook (NASDAQ: FB) werd ontdekt, stelde de aanvallers in staat directe controle te hebben over gebruikersaccounts; ongeveer 50 miljoen van hen om precies te zijn.
De nieuwste beveiligingsschending van Facebook
Naast de 50 miljoen zei Facebook ook dat er nog eens 40 miljoen accounts waren die potentieel kwetsbaar waren. Alles bij elkaar heeft het bedrijf 90 miljoen accounts uitgelogd om verdere schade te voorkomen.
$config[code] not foundIn een beveiligingsupdate gaf Facebook toe dat de aanval de complexe interactie van meerdere problemen in de code heeft kunnen uitbuiten. Dit is het gevolg van een wijziging die het bedrijf in juli 2017 heeft doorgevoerd in de functie voor het uploaden van video's. Dit heeft gevolgen voor de functie 'Weergeven als'.
Facebook zei: "De aanvallers moesten niet alleen deze kwetsbaarheid vinden en gebruiken om een toegangstoken te krijgen, ze moesten vervolgens van dat account naar anderen draaien om meer tokens te stelen."
Deze aanval kan niet op een slechter moment voor Facebook zijn gekomen. Het bedrijf probeert zijn beveiliging veilig te stellen vóór de aanstaande tussentijdse verkiezingen terwijl het tegelijkertijd probeert te herstellen van het Cambridge Analytica-fiasco waarin gegevens van ongeveer 87 miljoen gebruikers werden gedeeld met een politiek adviesbureau.
De weergave als functie
Met de functie Bekijken als kunnen gebruikers zien hoe een profiel eruitziet voor andere mensen.
De aanvallers konden drie fouten of fouten in de functie "Bekijken als" misbruiken. In dezelfde beveiligingsupdate heeft Pedro Canahuati, Vice President voor Engineering, Beveiliging en Privacy, deze tekortkomingen als volgt opgesomd:
- Weergave Als onjuist de mogelijkheid geboden om een video te plaatsen.
- Een nieuwe versie van de video-uploader (de interface die als resultaat van de eerste bug zou worden gepresenteerd), die in juli 2017 werd geïntroduceerd, genereerde ten onrechte een toegangstoken met de rechten van de mobiele Facebook-app.
- Toen de video-uploader verscheen als onderdeel van View As, genereerde deze het toegangstoken NIET voor de kijker, maar voor de gebruiker keek de kijker omhoog.
Facebook zei dat het de View As-functie tijdelijk heeft uitgeschakeld terwijl het een beveiligingsbeoordeling uitvoert.
Tricking Facebook om toegang te krijgen tot tokens
Met dit beveiligingslek konden de aanvallers Facebook misleiden om toegangstokens uit te geven. Dit gaf hen toegang tot gebruikersaccounts alsof ze de gebruiker waren.
Ze hadden ook toegang tot services die de gebruiker mogelijk heeft geregistreerd voor het gebruik van Facebook, zoals Airbnb, Spotify, Tinder of andere apps en games.
Facebook heeft de toegangstokens van de 50 miljoen accounts die zijn getroffen, evenals de extra 40 miljoen accounts die mogelijk kwetsbaar waren, opnieuw ingesteld.
Als uw account een van de 90 miljoen slachtoffers van dit incident was, wordt u gevraagd opnieuw in te loggen op Facebook en gekoppelde accounts.
Wie is verantwoordelijk?
In een conference call (PDF) zei Guy Rosen, Vice President Product Management voor Facebook dat het bedrijf wetshandhaving heeft aangekondigd en samenwerkt met de FBI.
Met betrekking tot wie verantwoordelijk is, vervolgt Rosen dat het moeilijk is om te ontdekken wie er achter de aanval zat en voegde eraan toe: "We zullen het misschien nooit weten."
Afbeelding: Facebook
3 Reacties ▼
