Sigurnosni propust ugrozio 50 milijuna korisničkih računa na Facebooku

Sigurnosni propust u kodu opcije 'View as' omogućio je hakerima da pristupe tokenima, digitalnim ključevima koji omogućavaju korisnicima da ostanu logirani na platformu. Facebook je tokene odmah resetirao, a preventivno je resetirano i dodatnih 40 milijuna tokena

104
sigurnosni propust Facebook

Facebook je otkrio sigurnosni propust koji je hakerima omogućio da preuzmu oko 50 milijuna korisničkih računa, objavila je tvrtka u petak.

“Ovo je vrlo ozbiljan sigurnosni problem i mi ga shvaćamo vrlo ozbiljno”, oglasio se izvršni direktor Mark Zuckerberg na poziv novinara.

Dionice Facebooka, koje su već prije otkrivanja sigurnosnog propusta pale za 1,5 posto, nastavile su gubiti vrijednost i završile su dan s gubitkom od 2,6 posto.

Na korporativnom blogu Facebook je objavio da su njegovi inženjeri u utorak utvrdili da su napadači otkrili slabost u Facebookovom kodu kod značajke ‘View as’. Potencijalnog napada su postali svjesni nakon što je 16. rujna zabilježen vrhunac korisničkih aktivnosti.

Opcija ‘View as’ omogućava korisnicima da vide kako njihov profil izgleda drugim korisnicima platforme. Propust obuhvaća tri zasebne greške, a omogućio je hakerima da pristupe tokenima, digitalnim ključevima koji omogućavaju korisnicima da ostanu logirani na platformu, odnosno da joj pristupe bez ponovnog unosa zaporke, što se može zlouporabiti za kontrolu računa drugih korisnika.

Ukradeni su tokeni za gotovo 50 milijuna računa. Facebook je tokene resetirao nakon što je napad otkriven. Preventivno je resetirano i dodatnih 40 milijuna tokena za račune koji su koristili opciju “View as“ u proteklih godinu dana, tako da je ukupno resetirano 90 milijuna računa. Prema dostupnim podacima iz lipnja Facebook je imao 2,23 milijarde aktivnih korisnika mjesečno.

Nakon resetiranja korisnici će prilikom ponovnog pristupanja Facebook računu morati upisati svoju zaporku ili će morati pristupiti aplikaciji koja koristi Facebook sustav za prijavu (Facebook login).Također, dobit će obavijest na vrhu svog News Feeda u kojoj će biti objašnjeno što se dogodilo.

>>Facebook uvodi središnju stranicu za podešavanje postavki o privatnosti i sigurnosti

Za sada nije potvrđena zlouporaba

Opcija „View as“ je do daljnjeg isključena dok se propust ne otkloni i potvrdi da je njena primjena sigurna. Facebook je priopćio da je problem riješen u četvrtak navečer i da je obavijestio istražna tijela, uključujuću FBI i irsku Komisiju za zaštitu podataka, u skladu s pravilima Opće uredbe o zaštiti podataka (GDPR).

Facebook je objavio da je upravo započeo svoju istragu i da još nije utvrđeno jesu li podaci zlouporabljeni, ali da inicijalna istraga nije otkrila zlouporabu. Hakeri su upali u Facebookov API sustav, koji aplikacijama omogućuje komunikaciju s platformom, kako bi dobili više informacija o korisnicima. Tvrtka nije sigurna jesu li hakeri koristili te podatke, ne zna tko je pokrenuo napad niti odakle napadači dolaze.

Korisnicima poručuju da nema potrebe za promjenom lozinke. Ako se pokaže da su još neki računi ugroženi, Facebook će odmah resetirati tokene tih korisnika. U priopćenju podsjećaju da su udvostručili broj zaposlenika koji brinu o sigurnosti na 20 tisuća.

>>Kako zaštititi sebe i prijatelje na Facebooku

“Sigurnost je u stvari utrka u naoružanju, a mi svakodnevno nastojimo poboljšati svoju obranu”, rekao je Zuckerberg. “Ovaj napad samo je istaknuo kako postoje ljudi koji konstantno nastoje ugroziti račune naše zajednice.“