Nul
Een ongewone verkeer spike is wat gewaarschuwd Facebook ingenieurs dat er iets mis zou kunnen zijn, en het was een onderzoek naar deze verhoogde activiteit die leidde ingenieurs om te ontdekken een enorme inbreuk op de beveiliging van deze week.
Facebook bevestigde de hack eerder vandaag, in een persbericht. Het zei hackers gestolen toegangstokens voor ongeveer 50 miljoen gebruikers.
Toegang lopers zijn alpha-numerieke codes die worden gegenereerd wanneer een gebruiker zich aanmeldt, en zijn opgeslagen in de browser van de gebruiker en de Facebook-servers op hetzelfde moment. Ze worden gebruikt om gebruikers toegang krijgen tot de Facebook site, zonder de gebruiker hierom te vragen om in te loggen bij elk bezoek –met de Facebook-servers controleren van de browser toegangstoken in een pagina-achtergrond.
Facebook zei eerder vandaag hackers verkregen toegangstokens voor 50 miljoen gebruikers, door misbruik van een kwetsbaarheid in “Weergeven Als” een eigenschap die aanwezig is op elke Facebook gebruiker het profiel dat laat ze zien hoe hun account kijkt door de ogen van een andere gebruiker.
Het sociale netwerk zegt een verandering in de Facebook code in juli 2017 de introductie van deze kwetsbaarheid, die het bedrijf gespot wordt misbruikt voor de eerste keer op 16 September.
Dit is de dag op Facebook is van mening hackers massaal begonnen misbruik van dit lek om toegang te krijgen tot de Weergave functie en het verkrijgen van toegang tokens voor andere accounts.
De access token oogsten operatie leidde tot de massale verkeer spike op de Facebook-servers. Zeven door het verkeer, Facebook ingenieurs zich realiseerde wat er gebeurde op September 26, en haastte zich om samen een patch voor de kwetsbaarheid van afgelopen nacht, op September 27, voordat ze openbaar met hun bevindingen deze ochtend.
Ook: Hoe om te zien of uw Facebook-account is gecompromitteerd CNET
Terwijl Facebook gehouden een eerste telefoongesprek met verslaggevers in de ochtend en antwoordde algemene vragen, het bedrijf scoorde een tweede druk op bellen in de middag, tijdens welke Nathaniel Gleicher, Hoofd van Cybersecurity-Beleid, en de Man Rosen, VP van Product Management, antwoordde meer technische vragen.
Tijdens deze tweede druk op bellen, Rosen zei dat de kwetsbaarheid in de Weergave Als functie was eigenlijk een combinatie van drie fouten.
“De kwetsbaarheid die we opgelost was het resultaat van drie verschillende bugs, en werd geïntroduceerd in juli 2017 toen hebben we een aantal nieuwe video uploader,” Rosen zei.
“De eerste fout was dat wanneer u de Weergave van het product, de video uploader eigenlijk niet had moeten zien was, maar in een heel specifiek geval, rond palen, die moedigde de mensen aan te willen gefeliciteerd met je Verjaardag, het deed zien.
“Nu de tweede fout was dat deze video uploader verkeerd gebruikt SSO voor het genereren van een token dat had de machtigingen van de Facebook mobile-app. Dat is niet hoe SSO was bedoeld om gebruikt te worden op ons platform.
“De derde fout is dat wanneer de video uploader kwam in het verleden als Uitzicht, dat is iets dat het niet zou doen, behalve in het geval van die eerste fout die we hadden, en dan het gegenereerde toegang, dat is weer iets dat het niet zou doen, behalve in het geval van die tweede fout, het gegenereerde het toegangstoken niet voor u, de kijker, maar voor de gebruiker die u waren op zoek naar de [preview via de Weergave-functie].
“Dus het is de combinatie van deze drie fouten die gemaakt van een kwetsbaarheid,” Rosen zei. “Deze kwetsbaarheid werd ontdekt door hackers, en de manier waarop ze misbruikt het is niet alleen het vinden van deze kwetsbaarheid en het te gebruiken om een toegangstoken te krijgen, maar elke keer hebben ze een access token, het draaien van andere accounts, met andere vrienden die gebruiker om verdere toegang te krijgen token.”
Ook: jezelf Verwijderen uit mensen zoeken en wissen van uw online aanwezigheid
Gleicher aangehaald in het vroege stadium van het onderzoek en was niet in staat commentaar te geven op de geografische reikwijdte van de inbreuk, of als het alleen gericht bepaalde typen accounts.
“We zijn nog niet in staat om te bepalen van een patroon. Het begin van de indicatie maakt het lijkt alsof het is heel breed en er is geen specifiek land of gebied gericht zijn, maar het is in zijn vroege dagen, en als we meer weten, zullen we updaten met wat we leren.”
Maar zelfs voordat ze openbaar, Facebook al tegengegaan hack. Het bedrijf ongeldig 90 miljoen access tokens in totaal in de afgelopen dagen. Het ongeldig lopers voor de 50 miljoen accounts die hackers misbruik had gemaakt van het gebruik van de kwetsbaarheid, en de toegangstokens voor nog eens 40 miljoen gebruikers, die het Uitzicht hebben.
Gleicher zei dat het bedrijf ongeldig penningen voor de laatste uit een overvloed aan voorzichtigheid, zelfs als zij niet zien dat de hackers proberen om te communiceren met deze accounts.
Ook: Social media is niet te vertrouwen zonder deze functies
Alle Facebook gebruikers hebben toegang tot de Login en Veiligheid Facebook pagina opties en review een lijst van alle apparaten die zijn aangemeld bij hun account, samen met hun respectievelijke geografische locaties.
De Facebook exec zei dat er gevallen zijn waarin een aanvaller zou kunnen gebruiken developer tools, zoals bibliotheken en commando-regel gereedschappen, om de access token en interactie met een Facebook account, een interactie die niet weergegeven op de bovenstaande login-lijst.
Maar omdat Facebook al ongeldig verklaard en alle zogenaamd gestolen access tokens, dit betekent dat zelfs als hackers hebben deze codes, ze kunnen ze niet gebruiken om in te loggen op een account.
Maar als gebruikers willen zich veilig voelen, kunnen ze klikken op de link aan de onderkant van de login-lijst, die zegt “uitloggen Van Alle Sessies,” die afbreuk zou doen aan alle access-tokens, ongeacht.
Gleicher ook bevestigd dat er geen verbinding is tussen de huidige inbreuk op de beveiliging en de bedreigingen gemaakt door een security-onderzoeker gisteren dreigde te verwijderen Mark Zuckerberg ‘ s Facebook-profiel tijdens een live-feed op zondag met behulp van een nieuwe kwetsbaarheid ontdekt hij.
Artikel is bijgewerkt om 20:35 ET, 28 September, om de juiste toedeling van enkele citaten.
VERWANTE EN EERDERE BERICHTGEVING:
Facebook ‘ s nieuwe privacy-instellingen: Kijk uit voor deze snelkoppelingen, data opties wissen
Te midden van het voortdurende vertrouwen crisis, Facebook gebruikers krijgen een eenvoudiger manier voor het downloaden van hun gegevens en nieuwe mobiele privacy-instellingen.
Europa ‘s hoogste rechtbank heeft slechts geblazen een groot gat in Facebook’ s fan-pagina voorwaarden
Nieuwe europees HOF van justitie uitspraak in Facebook geval zou kunnen hebben “verstrekkende gevolgen” voor de GDPR contracten.
Facebook is nep account crackdown: Onze AI plekken naaktheid, haat, terreur voor u doen
Facebook ‘ s nieuwe rapport probeert over te brengen hoe effectief de AI is bij het markeren van slechte content en nep-accounts.
Google logs stiekem gebruikers in Chrome wanneer ze zich aanmelden bij een Google-site
Browser maker gezichten speling voor de tekortkoming van de gebruiker te informeren over Chrome Sync gedragsverandering.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0