Facebook hacked προσοχή αλλάξτε κωδικό πρόσβασης

Μια ασυνήθιστα μεγάλη κυκλοφορία σε διεργασίες του site προειδοποίησε τους τεχνικούς του Facebook ότι κάτι μπορεί να πηγαίνει στραβά. Μετά από μια έρευνα για αυτή την αυξημένη δραστηριότητα ανακάλυψαν μια τεράστια παραβίαση ασφαλείας στο μεγαλύτερο κοινωνικό δίκτυο.Facebook

Το Facebook το επιβεβαίωσε (χαλαρά) νωρίτερα σήμερα, σε ένα δελτίο τύπου. Η εταιρεία ανέφερε ότι οι hackers κατάφεραν να κλέψουν tokens από περίπου 50 εκατομμύρια χρήστες.

Τα token πρόσβασης είναι αλφαριθμητικοί κωδικοί που δημιουργούνται όταν ένας χρήστης συνδέεται και αποθηκεύονται ταυτόχρονα στο πρόγραμμα περιήγησης του χρήστη και στους διακομιστές του Facebook. Χρησιμοποιούνται για να επιτρέπουν στους χρήστες να έχουν πρόσβαση στο Facebook χωρίς να χρειάζεται από τον χρήστη να συνδεθεί σε κάθε επίσκεψη. Τα token πρόσβασης ή διακριτικό πρόσβασης ελέγχονται από τους διακομιστές Facebook.

Το Facebook δήλωσε νωρίτερα ότι σήμερα οι hackers κατάφεραν να αποκτήσουν διακριτικά πρόσβασης για 50 εκατομμύρια χρήστες, εκμεταλλευόμενοι μια ευπάθεια στο “View As”, ένα χαρακτηριστικό που υπάρχει στο προφίλ κάθε χρήστη του Facebook και επιτρέπει να δείτε πώς φαίνεται ο λογαριασμός σας από κάποιον άλλο χρήστη.

Σύμφωνα με τους τεχνικούς του Facebook, το κοινωνικό δίκτυο πραγματοποίησε μια αλλαγή στον κώδικα τον Ιούλιο του 2017 στο χαρακτηριστικό “View as”. Tο exploit έγινε για πρώτη φορά στις 16 Σεπτεμβρίου. Η 16η Σεπτεμβρίου είναι η μέρα που πιστεύει το Facebook ότι οι hackers άρχισαν να εκμεταλλεύονται μαζικά αυτό το ελάττωμα για να αποκτήσουν πρόσβαση στη λειτουργία “Προβολή ως” και να αποκτήσουν tokens πρόσβασης λογαριασμών των χρηστών της εταιρείας.

  Ενεργοποιήστε την υποστήριξη HTML5 video του YouTube στο Firefox

Η λειτουργία συλλογής των access token προκάλεσε τη μαζική κίνηση στους διακομιστές του Facebook. Πέραν της κυκλοφορίας, οι μηχανικοί του Facebook συνειδητοποίησαν τι συμβαίνει στις 26 Σεπτεμβρίου. Άρχισαν να το ερευνούν παραπάνω 27 Σεπτεμβρίου, και ανακοίνωσαν τα ευρήματά τους σήμερα το πρωί.

Το Facebook πραγματοποίησε μια τηλεφωνική συνάντηση με δημοσιογράφους το πρωί και απάντησε σε γενικές ερωτήσεις. Ο Nathaniel Gleicher, επικεφαλής της πολιτικής ασφάλειας και ο Guy Rosen ανέφεραν ότι η ευπάθεια στη λειτουργία View As ήταν στην πραγματικότητα ένας συνδυασμός τριών σφαλμάτων.

“Η ευπάθεια που επιδιορθώσαμε ήταν αποτέλεσμα τριών ξεχωριστών σφαλμάτων και γνωστοποιήθηκε τον Ιούλιο του 2017”

“Το πρώτο σφάλμα ήταν όταν χρησιμοποιούσατε το προϊόν View As, ο video uploader δεν έπρεπε να εμφανίζεται καθόλου, αλλά σε μια πολύ συγκεκριμένη περίπτωση, σε δημοσιεύσεις που ενθάρρυναν τους ανθρώπους να ευχηθούν Happy Birthday, εμφανιζόταν.

Τώρα, το δεύτερο σφάλμα ήταν ότι αυτός ο video uploader χρησιμοποίησε εσφαλμένα SSO για να δημιουργήσει ένα διακριτικό πρόσβασης που έδινε δικαιώματα στην εφαρμογή του Facebook για κινητά. Βέβαια δεν ήταν αυτός ο τρόπος με τον οποίο προοριζόταν να χρησιμοποιηθεί το SSO.

  Βρες τι θα κάνει η NASA με τα κακά των αστροναυτών και κέρδισε 30000

Το τρίτο πρόβλημα ήταν ότι όταν ο video uploader εμφανιζόταν στο παρελθόν ως View As, κάτι που δεν έκανε, εκτός από την περίπτωση του πρώτου σφάλματος, και στη συνέχεια δημιουργούσε μια πρόσβαση, η οποία και πάλι δεν έπρεπε να παραχωρηθεί. Το δεύτερο σφάλμα δημιουργούσε το αναγνωριστικό πρόσβασης όχι για εσάς σαν θεατή, αλλά για κάποιο άλλο χρήστη.

“Έτσι είναι ο συνδυασμός αυτών των τριών σφαλμάτων που δημιούργησαν ένα τρωτό σημείο”, δήλωσε ο Rosen. “Αυτή η ευπάθεια ανακαλύφθηκε από hackers και το χρησιμοποίησαν για να αποκτήσουν αναγνωριστικά πρόσβασης. Στη συνέχεια, κάθε φορά που είχαν ένα αναγνωριστικό πρόσβασης, το χρησιμοποιούσαν και λάμβαναν περισσότερα tokens από τους φίλους του χρήστη που είχαν αποκτήσει πρόσβαση στο λογαριασμό του.

Φυσικά μετά από όλα τα παραπάνω δεν πρέπει να περιμένετε. Συνδεθείτε στον λογαριασμό σας και ελέγξτε το Ασφάλεια και σύνδεση. Η σελίδα θα σας εμφανίσει όλες τις συσκευές που είναι συνδεδεμένες στον λογαριασμό σας, αλλά και την γεωγραφική τους θέση. Αποσυνδέστε όποια δεν γνωρίζετε και αλλάξτε προληπτικά και τον κωδικό πρόσβασης.

_____________

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

One Comment

Leave a Reply
  1. Βοηθάει τους συμπολιτες να μάθουν να καταλάβουν Thank you George

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


5  +  1  =