פריצת האבטחה שהתגלתה על ידי מהנדסי פייסבוק (NASDAQ: FB) ב -25 בספטמבר אפשרה לתוקפים לקבל שליטה ישירה על חשבונות משתמשים; כ -50 מיליון מהם להיות מדויקים.
האבטחה האחרונה
בנוסף ל -50 מיליון, פייסבוק גם אמר שיש עוד 40 מיליון חשבונות שהיו פגיעים פוטנציאליים. בסך הכל, החברה נרשמה 90 מיליון חשבונות כדי למנוע נזק נוסף.
$config[code] not foundבמסגרת עדכון אבטחה, הודה פייסבוק שהתקיפה היתה מסוגלת לנצל את האינטראקציה המורכבת של מספר נושאים בקוד שלה. זה בא על שינוי של החברה עשה את העלאת וידאו תכונה בחודש יולי 2017 המשפיעים על "הצג כ" תכונה.
פייסבוק אמר, "התוקפים לא רק צריך למצוא את הפגיעות ולהשתמש בו כדי לקבל אסימון גישה, אז הם היו צריכים pivot מאותו חשבון לאחרים כדי לגנוב יותר אסימונים."
התקפה זו לא היתה יכולה לבוא בזמן גרוע יותר עבור פייסבוק. החברה מנסה לחדש את ביטחונה לקראת הבחירות לקראת אמצע הקדנציה, ובמקביל היא מנסה להתאושש מהכישלון האנליטי של קיימברידג ', שבו נתפסו כ -87 מיליון משתמשים עם סוכנות ייעוץ פוליטית.
תצוגה כמאפיין
התכונה 'הצג כ' מאפשרת למשתמשים לראות כיצד פרופיל נראה לאנשים אחרים.
התוקפים היו מסוגלים לנצל שלושה פגמים או באגים בתכונה "הצג כ". באותו עדכון אבטחה, פדרו קנהואטי, סגן נשיא להנדסה, אבטחה ופרטיות, פירט את הפגמים הבאים:
- הצג כזמין באופן שגוי את האפשרות לפרסם סרטון.
- גרסה חדשה של מעלה הסרטונים (הממשק שיוצג כתוצאה מהבאג הראשון), שיוצג ביולי 2017, נוצר באופן שגוי אסימון גישה בעל הרשאות של היישום לנייד של Facebook.
- כאשר מעלה הסרטון הופיע כחלק מ- View As, הוא יצר את אסימון הגישה לא עבור הצופה, אלא עבור המשתמש שהצופה הסתכל למעלה.
פייסבוק אמרה כי היא כיבתה את התכונה View As באופן זמני בזמן שהיא עורכת ביקורת אבטחה.
הטעיה פייסבוק לגיליון גישה אסימונים
עם פגיעות זו, התוקפים הצליחו להערים על פייסבוק ולהנפיק להם אסימוני גישה. זה נתן להם גישה לחשבונות משתמש כאילו הם המשתמש.
יש להם גם גישה לשירותים שהמשתמש רשם עבור שימוש בפייסבוק כגון Airbnb, Spotify, Tinder או אפליקציות ומשחקים אחרים.
פייסבוק איפסת את אסימוני הגישה של 50 מיליון החשבונות שהושפעו וכן 40 מיליון חשבונות נוספים שהיו עשויים להיות פגיעים.
אם חשבונך היה אחד מ -90 מיליון המושפעים מאירוע זה, תתבקש להיכנס מחדש לפייסבוק ולכל החשבונות המקושרים.
מי אחראי?
בשיחת ועידה (PDF) אמר גיא רוזן, סגן נשיא לניהול מוצר בפייסבוק כי החברה הודיעה על אכיפת החוק ועובדת עם ה- FBI.
מי אחראי, ממשיך רוזן לומר שקשה לגלות מי עמד מאחורי הפיגוע, והוסיף "אולי לעולם לא נדע".
תמונה: פייסבוק
3 תגובות ▼