Die Sicherheitsverletzung, die von Ingenieuren von Facebook (NASDAQ: FB) am 25. September entdeckt wurde, erlaubte den Angreifern, die Benutzerkonten direkt zu kontrollieren. rund 50 Millionen von ihnen, um genau zu sein.
Die neueste Sicherheitslücke bei Facebook
Neben den 50 Millionen gab Facebook an, dass es weitere 40 Millionen Konten gibt, die potenziell anfällig sind. Insgesamt hat das Unternehmen 90 Millionen Konten abgemeldet, um weitere Schäden zu vermeiden.
$config[code] not foundIn einem Sicherheitsupdate gab Facebook zu, dass der Angriff die komplexe Interaktion mehrerer Probleme in seinem Code ausnutzen konnte. Dies ist auf eine Änderung der Video-Upload-Funktion des Unternehmens im Juli 2017 zurückzuführen, die sich auf die Funktion "Anzeigen als" auswirkte.
Facebook sagte: "Die Angreifer mussten diese Schwachstelle nicht nur finden und nutzen, um ein Zugriffstoken zu erhalten. Sie mussten dann von diesem Konto zu anderen wechseln, um weitere Token zu stehlen."
Dieser Angriff hätte für Facebook nicht zu einem schlechteren Zeitpunkt kommen können. Das Unternehmen versucht, seine Sicherheit vor den anstehenden Zwischenwahlen zu erhöhen, während es gleichzeitig versucht, sich vom Cambridge Analytica-Fiasko zu erholen, bei dem Daten von etwa 87 Millionen Nutzern mit einer politischen Beratungsagentur geteilt wurden.
Die Ansicht als Funktion
Mit der Funktion "Anzeigen als" können Benutzer sehen, wie ein Profil für andere Personen aussieht.
Die Angreifer konnten drei Fehler oder Fehler in der Funktion "Anzeigen als" ausnutzen. In demselben Sicherheitsupdate listete Pedro Canahuati, Vizepräsident für Engineering, Sicherheit und Datenschutz, diese Mängel wie folgt auf:
- View As bot fälschlicherweise die Möglichkeit, ein Video zu posten.
- Eine im Juli 2017 eingeführte neue Version des Video-Uploaders (die Schnittstelle, die als Ergebnis des ersten Fehlers angezeigt werden würde) hat falsch ein Zugriffstoken generiert, das die Berechtigungen der mobilen App von Facebook hatte.
- Wenn der Video-Uploader als Teil von "Ansicht als" angezeigt wurde, wurde das Zugriffstoken NICHT für den Betrachter generiert, sondern für den Benutzer hat der Betrachter nachgeschlagen.
Facebook gab an, die Funktion "Anzeigen als" vorübergehend deaktiviert zu haben, während eine Sicherheitsüberprüfung durchgeführt wird.
Tricking Facebook, um Zugriffstoken auszustellen
Mit dieser Sicherheitsanfälligkeit konnten die Angreifer Facebook dazu verleiten, ihnen Zugriffstoken zu erteilen. Dies gab ihnen Zugriff auf Benutzerkonten, als ob sie der Benutzer wären.
Sie hatten auch Zugriff auf Dienste, die der Nutzer möglicherweise für die Nutzung von Facebook registriert hat, wie Airbnb, Spotify, Tinder oder andere Apps und Spiele.
Facebook hat die Zugriffstoken der 50 Millionen Konten, die betroffen waren, sowie die zusätzlichen 40 Millionen Konten, die möglicherweise anfällig waren, zurückgesetzt.
Wenn Ihr Konto zu den 90 Millionen gehörte, die von diesem Vorfall betroffen sind, werden Sie aufgefordert, sich bei Facebook und allen verknüpften Konten erneut anzumelden.
Wer ist verantwortlich?
In einer Telefonkonferenz (PDF) sagte Guy Rosen, Vice President Product Management für Facebook, dass das Unternehmen die Strafverfolgungsbehörden benachrichtigt hat und mit dem FBI zusammenarbeitet.
In Bezug auf die Verantwortlichen sagt Rosen weiter, es sei schwer herauszufinden, wer hinter dem Angriff steckte, und fügte hinzu: "Wir können es nie erfahren."
Bild: Facebook
3 Kommentare ▼
