Facebook padł ofiarą cyberprzestępców. Mogli uzyskać dostęp do kilkudziesięciu milionów kont

News/Bezpieczeństwo 28.09.2018
Facebook padł ofiarą cyberprzestępców. Mogli uzyskać dostęp do kilkudziesięciu milionów kont

Facebook padł ofiarą cyberprzestępców. Mogli uzyskać dostęp do kilkudziesięciu milionów kont

Dziś wielu moich znajomych skarżyło się na niespodziewane wygaśnięcie sesji logowania w należących do Facebooka aplikacjach. Jak się okazuje, nic nie dzieje się bez przyczyny i to część reakcji na włamanie.

A więc to nie zwykła czkawka w działaniu usługi. Facebook przyznał, że padł ofiarą ataku ze strony cyberprzestępców, który mógł skutkować podejrzeniem naszych prywatnych danych. W pesymistycznym scenariuszu, atakujący mogli mieć dostęp do nawet 50 mln kont. W tym do ich najbardziej ukrytych zakamarków, takich jak prywatne wiadomości tekstowo-obrazkowe.

Atakujący wykorzystali wadę w mechanizmie pozwalającym testować ustawienia prywatności. Każdy z nas może sprawdzić, jak prezentuje się nasz profil przeglądając go jako dowolna wskazana przez nas osoba lub grupa – to przydatne narzędzie, gdy chcemy się upewnić, że część informacji na nasz temat widzą wyłącznie odpowiednie, zazwyczaj najbliższe nam osoby. Jak się okazało, token wykorzystywany w tym mechanizmie można przejąć z zewnątrz – tym samym zyskując nielimitowany dostęp do danego profilu.

Szczegóły techniczne awarii nie są znane. Po włamaniu przestępcy mogli podejrzeć dane nawet 50 mln osób na Facebooku.

Facebook dopiero rozpoczął śledztwo w sprawie omawianego ataku. Nie może jeszcze określić dokładnie jak wykorzystano usterkę i ile osób jest na jej skutek poszkodowanych, a także kto odpowiada za włamanie. Na wszelki wypadek tymczasowo wyłączono funkcję podglądu profili jako inny użytkownik, zresetowano też wszystkie opierające się na tokenach sesje – to właśnie dlatego wielu z nas musiało się na nowo logować dziś na Facebooka i Messengera.

Według danych Facebooka, funkcja podglądu została wykorzystana na 50 mln profili w ostatnich tygodniach i na kolejnych 40 mln w przeciągu ostatniego roku. Wszystkim 90 mln na wszelki wypadek wygaszono wszystkie aktywne sesje logowania.

Niestety, nie możemy sprawdzić na własną rękę, czy ktoś włamał się na nasze konto i przeglądał nasze prywatne dane. Na wszelki wypadek – tak dla pewności – warto dziś zmienić facebookowe hasło na jakieś nowe. A czynność tą powtarzać cyklicznie co kilka tygodni.

Dołącz do dyskusji

Advertisement