50 млн аккаунтов в Facebook под угрозой взлома из-за ошибки в системе

Где ошибка в защите?

Компания Facebook предупредила об ошибке на сайте, воспользовавшись которой злоумышленники могли получить доступ к учетным записям 50 млн пользователей социальной сети. Согласно сообщению вице-президента компании Гая Розена (Guy Rosen), расследование произошедшего все еще на ранней стадии, однако уже сейчас известно, что атакующие проэксплуатировали уязвимости в коде Facebook, затронувшие функцию «Посмотреть как» (View As), позволяющую пользователям увидеть свою страницу до того, как ее просмотрят другие подписчики.

Атакующие эксплуатировали уязвимость в коде Facebook, затронувшую функцию «Посмотреть как».

Таким образом киберпреступникам удалось похитить токены доступа (эквиваленты цифровых ключей, удерживающие пользователей авторизованными в Facebook на одном устройстве, исключая необходимость повторного ввода учетных данных при загрузке социальной сети), с помощью которых могли бы перехватить контроль над аккаунтами пользователей.

В целях защиты компания сбросила токены порядка 50 млн учетных записей, затронутых уязвимостью. Кроме того, специалисты соцсети намерены сбросить токены еще 40 млн учетных записей пользователей, использовавших функцию «Посмотреть как» в минувшем году. В результате, порядка 90 млн пользователей Facebook потребуется заново авторизоваться при заходе в соцсеть.

Как уже удалось выяснить инженерам, ошибка связана с изменениями, внесенными в функцию загрузки видео в июле 2017 года. Команда безопасности соцсети заметила неладное после необычного всплеска трафика на серверах и в ходе расследования выявила кибератаку, продолжавшуюся с 16 сентября нынешнего года.

В общей сложности атакующие проэксплуатировали три уязвимости — одну, связанную с функцией загрузки видео, вторую в загрузчике видео, который генерировал токены доступа с разрешением авторизации в мобильном приложении Facebook (как правило, это запрещено). Третья уязвимость заключалась в том, что токены генерировались не для просматривающего страницу, а для того, чей профиль искал пользователь, позволяя злоумышленникам скомпрометировать учетную запись имитируемого пользователя.

В настоящее время в компании разбираются, произошла ли утечка данных и воспользовались ли злоумышленники скомпрометированными учетными записями в злонамеренных целях. Кто стоит за атакой на данный момент также неизвестно.

По материалам securitylab.ru