Αμέσως μετά την επιβεβαίωση της αμφιλεγόμενης πρακτικής χρήσης τηλεφωνικών αριθμών για την αποστολή στοχευμένων διαφημίσεων σε χρήστες του Facebook, η πλατφόρμα ανακάλυψε ένα κενό ασφαλείας που άφησε τουλάχιστον 50 εκατομμύρια λογαριασμούς στο έλεος των hackers.
Σε ανακοίνωσή του, το Facebook μοιράστηκε λεπτομέρειες σχετικά με ένα κενό ασφαλείας στο χαρακτηριστικό "Προβολή ως" που επέτρεψε στους hackers να παραβιάσουν τους λογαριασμούς των χρηστών του Facebook. Το "View As" είναι αυτό που επιτρέπει στους χρήστες να δουν το προφίλ τους όπως άλλοι το βλέπουν. Ο αντιπρόεδρος του Facebook στον τομέα του Product management, Guy Rosen, δήλωσε ότι το πρόσφατα εντοπισμένο exploit επέτρεψε στους επιτιθέμενους να αποκτήσουν αναγνωριστικά πρόσβασης, τα οποία διατηρούν τους χρήστες συνδεδεμένους στους λογαριασμούς τους σε πολλαπλές περιόδους σύνδεσης. Αυτά τα tokens είναι αυτά που θα επιτρέψουν στους εισβολείς να υποκλέψουν τους λογαριασμούς Facebook.
Η έρευνα του Facebook βρίσκεται ακόμη σε εξέλιξη. Ενώ το κενό έχει διορθωθεί, δεν είναι σαφές στο Facebook εάν χρησιμοποιήθηκαν τα κλεμμένα tokens και, εφόσον κάτι τέτοιο έγινε, το πόσοι λογαριασμοί επηρεάστηκαν. Σε κάθε περίπτωση, το Facebook έχει επαναφέρει τα tokens πρόσβασης για 90 εκατομμύρια λογαριασμούς, πράγμα που σημαίνει ότι μπορεί να σας ζητηθεί να συνδεθείτε ξανά στην πλατφόρμα.
Διαβάστε επίσης: Bug στο App Store εμφανίζει υπερβολικά μεγάλο το μέγεθος των εφαρμογών
“Εδώ είναι όλα όσα έχουμε κάνει. Πρώτον, έχουμε διορθώσει το κενό ασφαλείας και έχουμε ενημερώσει τις αρχές.
Δεύτερον, έχουμε επαναφέρει τα αναγνωριστικά πρόσβασης των σχεδόν 50 εκατομμυρίων λογαριασμών που γνωρίζουμε ότι επηρεάστηκαν για να τους προστατεύσουμε. Λάβαμε επίσης το προληπτικό βήμα για την επαναρύθμιση των αναγνωριστικών πρόσβασης για άλλους 40 εκατομμύρια λογαριασμούς που δοκίμασαν την "Προβολή ως" κατά το τελευταίο έτος. Ως αποτέλεσμα, περίπου 90 εκατομμύρια άνθρωποι θα πρέπει τώρα να συνδεθούν ξανά στο Facebook ή σε οποιαδήποτε από τις εφαρμογές τους που χρησιμοποιούν τη σύνδεση στο Facebook. Αφού συνδεθούν ξανά, οι χρήστες θα λάβουν μια ειδοποίηση στην κορυφή των ενημερώσεών τους, που θα τους εξηγεί τι συνέβη.”
Η ευπάθεια προήλθε από τις αλλαγές που έκανε το Facebook σε ένα χαρακτηριστικό που αφορούσε τη μεταφόρτωση βίντεο πριν από ένα χρόνο.
“Αυτή η επίθεση εκμεταλλεύτηκε τη σύνθετη αλληλεπίδραση πολλαπλών προβλημάτων στον κώδικά μας. Προέρχεται από μια αλλαγή που πραγματοποιήσαμε στη λειτουργία μεταφόρτωσης βίντεο τον Ιούλιο του 2017, η οποία επηρέασε την "Προβολή ως". Οι επιτιθέμενοι δεν χρειάστηκε μόνο να βρουν αυτό το ζήτημα ασφαλείας και να το χρησιμοποιήσουν για να αποκτήσουν ένα αναγνωριστικό πρόσβασης, αλλά αποφάσισαν να στραφούν και εναντίον άλλων λογαριασμών για κλέψουν τα διαπιστευτήρια.”
Τέλος, η ενημερωμένη έκδοση ασφαλείας αναφέρει ότι οι χρήστες δεν χρειάζεται να αλλάξουν τους κωδικούς τους και τελειώνει με μία σύντομη συγγνώμη:
“Το απόρρητο και η ασφάλεια των ανθρώπων είναι εξαιρετικά σημαντικά και λυπούμαστε για ότι συνέβη. Γι’ αυτό έχουμε αναλάβει άμεση δράση για να προστατεύσουμε αυτούς τους λογαριασμούς και να ενημερώσουμε τους χρήστες για το τι συνέβη. Δεν χρειάζεται κανένας να αλλάξει τους κωδικούς πρόσβασης.”
Εάν αυτή η τελευταία παραβίαση σας κάνει να σκέφτεστε και πάλι τη χρήση του Facebook, ανατρέξτε στον παραπάνω οδηγό μας για την απενεργοποίηση ή την οριστική διαγραφή του λογαριασμού σας.
