By | October 4, 2018

Facebook דיווח כי מתקפת סייבר האחרונה חשפה מידע אישי של 50 מיליון חשבונות.

צוות רשת חברתית חשף כי האקרים לנצל פגיעות ב- “נוף בשם” התכונה אשר מאפשרים להם לגנוב אסימוני גישה Facebook.

הודות התכונה ‘תצוגה בשם’, המשתמשים יכולים לראות איך אנשים אחרים לראות את הפרופיל שלהם. תכונה זו מיושמת תחת המקטע ‘ פרטיות ‘ כדי לסייע למשתמשים כדי לבדוק נתונים המיועד בלבד הוא גלוי עבור הפרופיל הציבורי שלהם.

ב-16 בספטמבר, הקבוצה Facebook הבחין יתד תעבורה, עם זאת, מתקפת הסייבר עצמה נרשמה ב-25 בספטמבר, כאשר הצוות מצא שנפרצה הדרך לרציף. באופן רשמי, Facebook מגולה התקרית ב-27 בספטמבר.

בתגובה להתקפה, הקבוצה Facebook ללא זמינה את התכונה ‘תצוגה בשם’, לאפס את אסימוני אבטחה עבור 50 מיליון חשבונות מיותרות, בתור אמצעי זהירות, לאפס אותם עבור חשבונות 40 מיליון אחרים. בנוסף, האקרים הצליחו לגשת לנתונים מסוימים של מארק צוקרברג המייסד Facebook ו- COO את שריל סנדברג.

הקבוצה Facebook הוא להודיע לכל המשתמשים אסימונים אשר נחשף על ידי התוקפים.

על-פי הרשת החברתית, הפגיעות היא התוצאה של שרשור של שלושה פגמים המשפיעים על התכונה ‘תצוגה בשם’ Facebook של הסרטונים uploader. הגירסה של ממשק וידאו uploader מושפעים מהפגיעות הוצג ב-2017 ביולי.

1. מומחים הבחין כי “תצוגה בשם” מאפשר הצגת הפרופיל נתונים לקריאה בלבד ממשק. אבל הפלטפורמה לא יכולה לאמת את התוכן באמצעות תיבת טקסט מאפשר לאנשים מאחלים הולדת לחברים שלהם (זה הבאג הראשון). המומחים גילו שאפשר לפרסם סרטון דרך השדה הזה.
2. הבעיה השנייה קשורה לעובדה כי uploader וידאו שנוצר אסימון גישה שהיה ההרשאות של האפליקצייה Facebook בעת רישום וידאו בתיבת הטקסט.
3. החרק השלישי הוא ה-token שנוצר לא היה עבור המשתמש מנצל “תצוגה בשם” אלא לזו שהפרופיל שלו היה הנצפה, פירוש הדבר כי התוקפים יכול להשיג את ה-token של קוד HTML של העמוד, להשתמש בו כדי להשתלט על חשבון של משתמש יישוב.

דבר מעניין נוסף אודות מתקפת הסייבר האחרונות היא העובדה כי האקרים היה פורץ לראשונה חשבון והתקפה של החברים של חשבונות אחרים המחוברים אליו לאחר מכן.

Facebook דיווחו גם כי הפושעים שאילתה ממשקי תיכנות היישומים של גישה פרטי הפרופיל, אך אין מידע פרטי (הודעות פרטיות או פרטי כרטיס אשראי) נראה היוו יעד.

היבט underestimated נוסף הוא העובדה שניתן האסימונים חשופים המשמשים לגישה אפליקציות צד שלישי אשר מאפשרים את הפרופיל לשימוש באימות Facebook. אפס את האסימון לפתור גם את הסיכון.

בנוסף, המומחים מזהירים כי המשתמשים קישרו שלהם Facebook וחשבונות Instagram צריך לנתק, לקשר מחדש את החשבונות שלהם עקב האיפוס של האסימונים.

Leave a Reply

Your email address will not be published. Required fields are marked *