Nul
En usædvanlig trafik spike er, hvad advaret Facebook ingeniører, at noget kunne være galt, og det var en undersøgelse af denne øgede aktivitet, der førte ingeniører til at opleve en massiv sikkerhedsbrist i denne uge.
Facebook har bekræftet hack tidligere i dag, i en pressemeddelelse. Det sagde hackere stjal access tokens for omkring 50 millioner brugere.
Access tokens er alfanumeriske koder, der genereres, når en bruger logger på, og gemmes i brugerens browser og Facebook ‘ s servere på samme tid. De er vant til at lade brugerne få adgang til de Facebook site uden at spørge brugeren til at logge ind ved hvert besøg-med Facebook servere kontrollere browserens adgang token i en sides baggrund.
Facebook sagde tidligere i dag, hackere fik adgang poletter til 50 millioner brugere ved at misbruge en sårbarhed i “Se Så,” en funktion er til stede på hvert Facebook er brugerens profil, der giver dem mulighed for at se, hvordan deres konto ser gennem øjnene af en anden bruger.
Det sociale netværk sagde, at en ændring i Facebook ‘ s kode i juli 2017 indført denne sårbarhed, som virksomheden spottet udnyttes for første gang den 16 September.
Dette er den dag, Facebook mener, at hackere begyndte massivt i at misbruge denne svaghed til at få adgang til den Udsigt Som funktion og få adgang poletter til andre konti.
Access token høst udløste den massive trafik spike på Facebook servere. Sigtning gennem trafikken, Facebook ingeniører indså, hvad der foregik på September 26, og skyndte sig at sammensætte en patch til sårbarheden i går aftes, September 27, før de går til offentligheden med deres resultater denne morgen.
Også: Sådan til at se, hvis din Facebook konto er blevet kompromitteret CNET
Mens Facebook afholdt en indledende telefonmøde med journalister i morgen og besvaret generelle spørgsmål, virksomheden planlagt et andet tryk på ring op i eftermiddag, hvor Nathaniel Gleicher, Leder af Cybersecurity Politik, og Fyr Rosen, VP, Product Management, svarede mere tekniske undersøgelser.
I løbet af denne anden tryk på ring op, Rosen sagde, at sårbarheden i Udsigt Som funktion blev faktisk en kombination af tre fejl.
“Den svaghed, at vi fast var resultatet af tre forskellige fejl, og blev indført i juli 2017, når vi skabt en række nye video uploader,” sagde Rosen.
“Den første fejl var, at når du bruger den Opfattelse, Som produkt -, video uploader faktisk ikke burde være mødt op på alle, men i en meget specifik sag, omkring stillinger, der opfordrede folk til at ønske tillykke med Fødselsdagen, det gjorde dukke op.
“Nu er den anden fejl var, at denne video uploader forkert anvendte SSO til at generere en access token, som havde tilladelser til Facebook mobile app. Det er ikke sådan SSO var beregnet til at blive brugt på vores platform.
“Den tredje fejl var, at når der uploadede videoen dukkede op fortid som Se, der er noget, at det ikke ville gøre, undtagen i tilfælde af, at første fejl vi havde, og så er det genereret en adgang, som er igen noget, som det ikke ville gøre, undtagen i tilfælde af, at anden fejl, det genererede adgang token ikke for dig beskueren, men for den bruger, du ledte [preview via den Udsigt Som funktion].
“Så det er kombinationen af disse tre fejl, der skabte en svaghed,” sagde Rosen. “Denne sårbarhed blev opdaget af hackere, og den måde de udnytter det er ikke bare at finde denne svaghed, og bruger det til at få en adgang token, men så hver gang de har en adgangstoken, drejelige fra andre konti, og at andre venner til, at brugeren for at få yderligere adgang token.”
Også: Fjern dig selv fra folk, søg websteder og slette din online tilstedeværelse
Gleicher citeret i den tidlige fase af undersøgelsen, og var ikke i stand til at kommentere den geografiske rækkevidde af misligholdelse, eller hvis det målrettede kun bestemte typer af konti.
“Vi har endnu ikke været i stand til at bestemme et mønster. Den tidlig indikation gør det synes som om det er meget bred, og der er ingen bestemt land eller område målrettet, men det er i dets tidlige dage, og efterhånden som vi lærer mere, vil vi opdatere med det, vi lærer.”
Men selv før de går forbudt, Facebook allerede imødegået hack. Virksomheden ugyldig 90 millioner access tokens i alt i de sidste dage. Det ugyldig poletter til 50 millioner konti, at hackere havde misbrugt ved hjælp af den sårbarhed, og få adgang til poletter til en anden 40 millioner brugere, der brugte den Udsigt Som funktion.
Gleicher sagde selskabet erklæres ugyldig, poletter til sidstnævnte, ud af en overflod af forsigtighed, selv om de ikke se, at de hackere, der forsøger at interagere med disse konti.
Også: Sociale medier ikke kan have tillid til, uden at disse funktioner
Alle Facebook-brugere kan få adgang til Login og Sikkerhed Facebook siden indstillinger og få vist en liste over alle de enheder, der er logget ind på deres konto, sammen med deres respektive geografiske områder.
Den Facebook exec sagde, at der er tilfælde, hvor en hacker kan bruge udvikler værktøjer, såsom biblioteker og kommando-linje værktøj, til at give adgang token, og interagerer med en Facebook-konto, en interaktion, der ikke ville blive vist på ovenstående login liste.
Men fordi Facebook allerede ugyldig alle angiveligt stjålet adgang kuponer, dette betyder, at selv hvis hackere har disse koder, kan de ikke bruge dem til at logge ind på en konto.
Men hvis brugere ønsker at føle sig trygge, kan de klikke på linket i bunden af login-liste, hvor der står “Log Ud Af Alle Sessioner”, hvilket ville medføre, at alle access tokens, uanset.
Gleicher også bekræftet, at der ikke er nogen forbindelse mellem dagens brud på sikkerheden, og de trusler, foretages af en sikkerhedsekspert i går, truer med at slette Mark Zuckerberg Facebook profil i løbet af et live-feed på søndag ved hjælp af en ny sårbarhed, opdagede han.
Artikel opdateret kl 20:35 OG 28 September, for at rette fordeling af nogle citater.
RELATEREDE OG TIDLIGERE DÆKNING:
Facebook ‘ s nye privatlivs-indstillinger: Se på udkig efter disse genveje, data slet
Midt i den igangværende trust krise, Facebook brugere til at få en nemmere måde at hente deres data, og nye mobil personlige indstillinger.
Europa ‘s øverste domstol har netop sprængt et stort hul i Facebook’ s fan-side form
Nye eu-DOMSTOLENS afgørelse i Facebook tilfælde kunne have “vidtrækkende konsekvenser” for GDPR kontrakter.
Facebook er falsk konto overgreb: Vores AI pletter nøgenhed, had, terror, før du gør
Facebook ‘ s nye rapport forsøg på at formidle, hvordan en effektiv sin AI er på udflagning dårligt indhold og falske konti.
Google hemmeligt brugere logger ind på Chrome, når de logger ind på en Google-site
Browser kaffefaciliteter ansigter modreaktion for at undlade at informere brugere om Chrome-Synkronisering adfærdsændring.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0