Jak napisał Piotr Konieczny z portalu niebezpiecznik.pl. Jeśli Facebook wylogował Cię dziś z Twojego konta w aplikacji mobilnej i przeglądarce na komputerze, to mocno współczujemy: ktoś mógł mieć dostęp do Twojego konta i Twoich prywatnych danych. Facebook właśnie poinformował o dziurze, która od roku pozwalała na nieautoryzowany dostęp do kont użytkowników. I co gorsza, ktoś według Facebooka z tego błędu masowo korzystał.

Błąd i reset sesji 90 milionów użytkowników

Wczoraj 28 października Facebook wylogował sporą liczbę użytkowników, którzy byli narażeni na przejecie ich danych. Co ciekawe zgodnie z informacjami przekazanymi przez Niebezpiecznik atakujący wykorzystali aż 3 błędy w celu przejmowania “tokenu”, dzięki któremu mogli się dostać do konta ofiary.

Atakujący wykorzystali w sumie 3 błędy. Pierwszy z nich pokazywał przycisk pozwalający wgrywać video podczas oglądania czyjegoś profilu poprzez funkcję “View As”. Przycisk ten nie pojawiał się zawsze, ale wtedy, kiedy oglądany profil miał “post specjalny”, np. w trakcie urodzin, na postach “zachęcających do składania życzeń”. Analiza podpiętego pod przycisk skryptu pozwalała na wyciągnięcie tokena pasującego do konta osoby, którą użytkownik ustawiał jako ta, której oczami chciał oglądać swój profil. A ten token można było wykorzystać do zalogowania się do aplikacji mobilnej… Atakujący, aby zebrać 50 milionów tokenów, musieli zautomatyzować atak. Z przejętego konta, pobierali tokeny wszystkich znajomych ofiary i potem znajomych znajomych, i tak dalej. “Szum” wygenerowany takim działaniem na masową skalę postawił Facebooka na nogi. 

Hasła nie wyciekły

Atakujący uzyskiwali dostęp do kont użytkowników przy pomocy tokenów, stąd nie wymaga się zmiany hasła na Facebooku, gdyż one nie zostało ujawnione. Co ciekawe i jednocześnie smutne dwuskładnikowe uwierzytelnianie nie uchroni nas w przypadku przejęcia naszego tokenu, który generowany jest tuż po zalogowaniu się do Facebooka. Tym samym niestety, ale nic w tym przypadku nie mogło uchronić użytkowników przed wrogim przejęciem kont. Tylko sam Facebook poprawiając błąd mógł zapobiec przejęcia. Więcej szczegółowych informacji o tym incydencie znajdziecie oczywiście w niebezpieczniku.

Grafika tytułowa: pexels.com / Źródło: niebezpiecznik.pl