Zero
Un insolito traffico di spike è quello che ha allertato Facebook ingegneri che qualcosa potrebbe essere sbagliato, ed era un’indagine in questa attività intensa che ha portato gli ingegneri di scoprire un’enorme violazione della sicurezza di questa settimana.
Facebook ha confermato l’hack prima di oggi, in un comunicato stampa. Ha detto che gli hacker hanno rubato i token di accesso per circa 50 milioni di utenti.
Token di accesso sono alfa-numerico codici che vengono generati quando un utente effettua il login, e vengono salvati nel browser dell’utente e Facebook server allo stesso tempo. Essi sono utilizzati per consentire agli utenti di accedere a Facebook sito senza chiedere conferma all’utente per il login ogni volta che si visita –con Facebook server di controllo del browser token di accesso a una pagina di sfondo.
Facebook ha detto prima di oggi gli hacker ottenuto il token di accesso per 50 milioni di utenti da un abuso di vulnerabilità”,” una funzione presente su ogni Facebook del profilo dell’utente che permette di vedere come il loro account guarda attraverso gli occhi di un altro utente.
Il social network ha detto che un cambiamento Facebook del codice nel luglio del 2017, ha introdotto questa vulnerabilità, che la società macchiato di essere sfruttati per la prima volta il 16 settembre.
Questo è il giorno in cui Facebook crede hacker iniziato in maniera massiccia l’abuso di tale difetto di accedere alla Visualizzazione Come funzionalità e di ottenere il token di accesso per gli altri account.
Il token di accesso operazione di raccolta attivato il massiccio traffico di spike su Facebook server. Spulciando tra il traffico, Facebook ingegneri capito cosa stava succedendo su settembre 26, e si precipitò a mettere insieme una patch per la vulnerabilità di ieri sera, 27 settembre, prima di andare pubblico con le loro scoperte questa mattina.
Inoltre: Come faccio a vedere se il tuo Facebook account è stato compromesso CNET
Mentre Facebook tenuta una prima conferenza telefonica con i giornalisti la mattina e ha risposto a domande di carattere generale, la società ha programmato una seconda premere il tasto di chiamata nel pomeriggio, durante il quale Nathaniel Gleicher, Capo della sicurezza informatica di Politica, e Guy Rosen, VP del Product Management, ha risposto a più domande tecniche.
Durante questa seconda premere il tasto di chiamata, Rosen ha detto che la vulnerabilità in funzione Visualizza Come era in realtà una combinazione di tre bug.
“La vulnerabilità che abbiamo fissato è il risultato di tre diversi bug, ed è stato introdotto nel luglio del 2017, quando abbiamo creato un nuovo video uploader,” Rosen ha detto.
“Il primo problema è stato che quando si utilizza la Vista di prodotto, video uploader in realtà non hanno mostrato a tutti, ma in un caso molto specifico, circa il post che ha incoraggiato la gente per augurare buon Compleanno, lo ha fatto vedere.
“Ora il secondo problema è stato che questo video uploader utilizzato in modo non corretto SSO per generare un token di accesso che aveva le autorizzazioni di Facebook mobile app. Non è così che SSO è destinato a essere utilizzato sulla nostra piattaforma.
“Il terzo problema è stato che quando il video uploader ha mostrato in passato come Vista, che è qualcosa che non si potesse fare, tranne nel caso di quel primo bug che abbiamo avuto, e quindi ha generato un accesso, che è di nuovo qualcosa che non si potesse fare, tranne nel caso del secondo bug, ha generato il token di accesso non per lo spettatore, ma per l’utente cerca [per visualizzare in anteprima tramite la funzione Visualizza Come].
“Così è la combinazione di questi tre bug che ha creato una vulnerabilità,” Rosen ha detto. “Questa vulnerabilità è stata scoperta da parte di hacker, e il modo in cui hanno sfruttato non è solo la ricerca di vulnerabilità e di utilizzo per ottenere un token di accesso, ma poi ogni volta che hanno un token di accesso, a bilico, da altri account, ad altri amici per l’utente per ottenere un ulteriore token di accesso.”
Anche: Rimuovere se stessi da parte di persone e siti di ricerca di cancellare la tua presenza online
Gleicher citato la fase iniziale dell’indagine, e non era in grado di commentare la portata geografica della violazione, o se è mirata solo a particolari tipi di account.
“Non siamo stati ancora in grado di determinare un modello. La prima indicazione fa sembrare che è molto ampia e non c’è nessun paese o una zona designata, ma è nei suoi primi giorni, e come si impara di più, ci sarà un aggiornamento con ciò che si impara.”
Ma anche prima di andare pubblico, Facebook già contrastato l’hack. L’azienda invalidato 90 milioni di token di accesso in totale nei giorni scorsi. È invalidato i gettoni di presenza per i 50 milioni di conti che gli hacker avevano abusato utilizzando la vulnerabilità, e il token di accesso per un altro 40 milioni di utenti che hanno utilizzato la funzione Visualizza Come.
Gleicher detto che la società ha invalidato il token per l’ultimo out di abbondanza di cautela, anche se non hanno visto gli hacker cercando di interagire con questi conti.
Anche: i Social media non può essere attendibile senza queste caratteristiche
Tutti Facebook gli utenti possono accedere all’account di Accesso e di Sicurezza di Facebook pagina opzioni e rivedere l’elenco di tutti i dispositivi connessi i loro account, insieme con le loro rispettive posizioni geografiche.
L’Facebook exec ha detto che ci sono casi in cui un utente malintenzionato potrebbe utilizzare gli strumenti di sviluppo, come le biblioteche e strumenti della riga di comando, per fornire il token di accesso e di interagire con Facebook account, un’interazione che non compaiono sull’accesso di cui sopra l’elenco.
Ma perché Facebook già invalidato tutti, presumibilmente rubati i token di accesso, questo significa che, anche se gli hacker hanno questi codici, si possono usare per accedere a un account.
Ma se gli utenti vogliono sentirsi al sicuro, può cliccare il link in fondo il login lista che dice “Log Out Di Tutte le Sessioni”, il che invaliderebbe tutti i token di accesso, a prescindere.
Gleicher anche confermato che non vi è alcuna connessione tra l’odierna violazione della sicurezza e le minacce da parte di un ricercatore di sicurezza di ieri, minacciando di eliminare Mark Zuckerberg Facebook profilo durante un live feed di domenica utilizza una nuova vulnerabilità che ha scoperto.
Articolo aggiornato alle 20:35 e 28 settembre, per la corretta attribuzione di alcune citazioni.
CORRELATI E PRECEDENTE COPERTURA:
Facebook nuove impostazioni per la privacy: Guardare fuori per questi collegamenti, i dati di eliminare le opzioni
In mezzo la fiducia continua crisi, Facebook agli utenti di ottenere un modo più semplice per scaricare i dati e mobili nuove impostazioni per la privacy.
In europa, la corte costituzionale ha appena soffiato un grande buco in Facebook la fan page di termini
Nuovo CGUE, sentenza Facebook caso potrebbe avere “effetti di vasta portata” per la GDPR contratti.
Facebook fake account giro di vite: il Nostro AI punti nudità, l’odio, il terrore prima di fare
Facebook-il nuovo rapporto tenta di trasmettere quanto sia efficace l’IA è a contrassegnare il contenuto cattivo e falso account.
Google segretamente registra gli utenti in Chrome ogni volta che si accede a un sito di Google
Browser maker volti gioco per mancanza di informare gli utenti di Chrome Sync cambiamento comportamentale.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0