Vineri, Facebook a dezvăluit că hackerii au spart serverele companiei și au furat datele a 50 de milioane de oameni.Rețeaua de socializare a forțat 90 de milioane de oameni – în jur de 50 de milioane de victime plus încă 40 de milioane care ar s-ar putea să fi fost afectate, conform spusele companiei – să se delogheze și să se logheze din nou. Asta pentru că hackerii le-au furat „tokenul de acces”, un fel de cheie digitală pe care o crează Facebook-ul când te loghezi. Îți permite să rămâi logat când aplicația de mobil Facebook vrea să deschidă o altă parte a site-ului într-un browser, de exemplu (asta s-ar putea întâmpla când dai click pe un link.)
Publicitate
Tokenul de acces nu include parola unui utilizator, dar din moment ce permite unui utilizator să rămână logat prin el, înseamnă că poate controla complet contul.„Părți din site-ul nostru folosesc un mecanism numit single sign-on care creează un nou token de acces”, a spus reporterilor într-o conferință, Guy Rosen, vice președintele managementului de produs de la Facebook. „Funcționează așa: să zicem că sunt logat pe aplicația de mobil Facebook și vreau să deschid o altă parte a site-ului într-un browser. Asta va crea acel single sign-on ca să genereze un token de acces pentru acel browser, ca să nu trebuiască să te mai reloghezi pe acea fereastră.”Hackerii au profitat de trei vulnerabilități diferite interconectate ca să fure token-ii, a spus Rosen.Slăbiciunile au existat cel puțin din Iulie 2017 și aveau legătură cu unealta de „View As” a Facebook-ului, care permite să-ți vizualizezi propriul profil ca și cum ai fi altcineva (asta este o parte de securitate – permite, de exemplu, să verifici dacă fostul, bunica sau oricine față de care ascunzi lucruri vede acele postări de pe pagina ta.)Dacă nu ai folosit această opțiune până acum, poate fi greu să ți-o imaginezi. Să zicem că vrei să ascunzi anumite postări ca să-i permiți lui Ion să vadă doar unele lucruri. Apoi ca să verifici că modificările făcute chiar au funcționat, poți să folosești opțiunea de View As ca să te uiți la profilul tău ca și cum ai fi Ion. Nu ești de fapt Ion, bineînțeles, și nu trebuie să ai acces la contul lui – e doar o simulare. Dar aceste înlănțuiri de erori ți-ar fi permis, dacă erai hacker, să obții tokenul de acces al lui Ion și să te loghezi în contul lui cu el, deci să preiei controlul total al contului.
Publicitate
Prima eroare, a explicat Rosen, a făcut o căsuță de urcare video să apară pe paginile View As „în anumite tipuri de postări ca să încurajeze oamenii să posteze mesaje de La Mulți Ani.” În mod normal, acea căsuță de urcare video nu ar fi trebuit să apară. A doua eroare a făcut căsuța să genereze un token de acces care avea permisiunea să se logheze în aplicația de mobil Facebook. Nu așa „ar trebui să fie folosită” această opțiune, după spusele lui Rosen.Ultima eroare, a explicat Rosen, a fost că atunci când o căsuță de urcare video a apărut ca parte din opțiunea de View As, a generat un nou token de acces nu pentru utilizator, ci pentru persoana care se prefăcea că este el - și a dat acces persoanei care folosea opțiunea View As la contul persoanei pe care o simula. În exemplul dat mai sus, nu numai că asta ți-ar fi permis să te uiți la profilul lui Ion folosind opțiunea de View As, dar ar mai fi generat un token de acces care-ți permitea să te loghezi pe contul lui și să-l preiei.„A fost combinația acestor trei erori care a creat o vulnerabilitate. Acum, ea a fost descoperită de atacatori”, a spus Rosen. „Acei atacatori, ca să facă asta, aveau nevoie nu numai să descopere această vulnerabilitate, dar și să primească un token de acces și apoi să-l monteze la alte conturi și apoi să caute alți utilizatori ca să mai primească alte tokene de acces.”Rosen a spus că el credea că ăsta a fost un atac relativ sofisticat, ținând cont că au luat 50 de milioane de conturi diferite: „Aici s-a întâmplat o interacțiune complexă dintre mai multe erori care s-au conectat între ele”, a spus el.
Publicitate
„Credem că acest atac a fost folosit la o scară destul de largă, așa l-am și descoperit și am început să-l investigăm, am văzut ce se petrecea”, a spus Rosen. „Nu știm încă exact cum au fost folosite greșit acele conturi.”
Ryan Stortz, cercetător de siguranță la Trail of Bits, a spus pentru Motherboard că Facebook ar fi trebuit să aibă abilitatea de a găsi această eroare înainte să o facă hackerii.„Facebook are un întreg filtru API pe care pun toate schimbările de conturi. Ar fi trebuit să prindă asta”, a spus Stortz pentru Motherboard într-o discuție online. „Nu știu care a fost buba, dar dacă ar fi preluat contului lui Zuck, ar fi fost nasol și ar fi trebuit să aibă un filtru care să prevină asta.”Dar un fost inginer de securitate de la Facebook a spus că asta nu a fost o eroare simplă de găsit.„Sună al dracului de greu de găsit, codul pentru View As face parte din site de multă vreme deci nu sunt surprins că avea niște erori”, a spus pentru Motherboard Zac Morris, care a lucrat pentru echipa de securitate de la Facebook între 2012 și 2016. „Dar să o montezi în așa fel încât să obții accesul la atâția tokeni este destul de impresionant.”Morris a adăugat că „eu fiind afectat sunt în mare parte interesant de cine o făcea și de ce, pentru că recompensa pentru raportare este de 30 000 de dolari, deci probabil că aveau o modalitate mai bună să o monetizeze, lucru puțin înfricoșător.”Rosen a spus că hackerii nu au furat parolele, deci dacă nu ai fost deja forțat să te deloghezi, nu ar trebui să fii afectat, iar utilizatorii nu trebuie să-și schimbe parolele. Facebook a spus că a dezactivat temporar opțiunea de View As.Acest articol a apărut inițial pe VICE US.