The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в Facebook привела к захвату контроля над 50 милл..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от opennews (??), 29-Сен-18, 10:42 
Facebook раскрыл (https://newsroom.fb.com/news/2018/09/security-update/) сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.


Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок (https://fbnewsroomus.files.wordpress.com/2018/09/9-28-press-...), по отдельности не представляющих опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Данная проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.


Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.


Третья ошибка  проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме "View As" загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен  создаётся не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница.

Таким образом атакующий может получить токены доступа к учётной записи сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима "View As". Атака была выявлена после анализа всплеска аномальной активности. В настоящее время Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме для просмотрщика видео (подверженным атаке пользователям потребуется перезайти в свой аккаунт).


URL: https://newsroom.fb.com/news/2018/09/security-update/
Новость: https://www.opennet.ru/opennews/art.shtml?num=49366

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

3. Сообщение от Константавр (ok), 29-Сен-18, 10:52   +/
А я думаю, на почту пришло письмо - "Здравствуйте, Константавр!Кажется, у вас возникли проблемы с входом в аккаунт. Нажмите кнопку ниже, если вам нужна помощь.  Войти одним кликом  
". Я взял и поменял пароль сразу, мало ли. А оно вот как.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

4. Сообщение от anonymous (??), 29-Сен-18, 11:00   +4 +/
Спасибо GDPR за это!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

5. Сообщение от Аноним (5), 29-Сен-18, 11:12   +3 +/
Ну, схлопнется, значит будем собирать данные из других соц. сетей и источинков. Всего-то... На данный момент - это лишь проблема фейсбука, как удержать пользователей.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Нанобот (ok), 29-Сен-18, 11:16   +1 +/
А ведь могли по тихому использовать уязвимость и оставаться незамечеными годами (возможно кто-то другой прямо сейчас так и делает)...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #30

7. Сообщение от Аноним (-), 29-Сен-18, 11:20   +7 +/
Люди сами проблемы себе создают. Как площадка для публикации ФБ уродлив. Соцсети кроме опеннета не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #44

8. Сообщение от Аноним (13), 29-Сен-18, 11:22   +/
В GitLab есть точно такая дыра.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #41

10. Сообщение от A.Stahl (ok), 29-Сен-18, 11:25   +1 +/
Опеннет уже стал соцсетью, да ещё и не уродливой? Ох-х-х...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #12

11. Сообщение от Аноним (11), 29-Сен-18, 11:26   +/
Завтра трансляция взлома фейсбука отменяется?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #24, #40

12. Сообщение от имя (?), 29-Сен-18, 11:28   +24 +/
по сравнению с фб интерфейс опеннета - верх эргономики!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #13, #14

13. Сообщение от Аноним (13), 29-Сен-18, 11:38   –1 +/
UX 10/10
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

14. Сообщение от Аноним (13), 29-Сен-18, 11:39   +3 +/
Спасибо, что не Реакт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (15), 29-Сен-18, 12:33   +/
такая же многоэтажка и не горит!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

16. Сообщение от Аноним (16), 29-Сен-18, 12:38   +7 +/
И ты уверен, что поменял его там, где надо тебе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #25

17. Сообщение от Аноним (17), 29-Сен-18, 12:39   +3 +/
Очуметь! Захватили 50 млн. учёток от ненужно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

18. Сообщение от Аноним (18), 29-Сен-18, 12:45   +/
Увы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от Аноним (20), 29-Сен-18, 12:55   +4 +/
> Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook

Похоже до него добрались раньше чем он мог себе представить :)

Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от имя (?), 29-Сен-18, 13:12   –2 +/
Что толку от этого ЛДПР если Цукерберг не заплатит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

24. Сообщение от Аноним (-), 29-Сен-18, 14:34   +1 +/
Будет! Это индийский хакер отказался, НО тайванский хакер не отказывался - https://itc.ua/news/haker-samouchka-zayavil-chto-v-pryamom-e.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

25. Сообщение от Константавр (ok), 29-Сен-18, 15:05   +/
Нет, я не переходил по ссылке в письме, если ты обэтом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #28

26. Сообщение от Аноним (26), 29-Сен-18, 15:19   +2 +/
Но, как и написано чуть дальше в тексте, любая из учёток от этого ненужно могла быть использована для авторизации в другом ненужно, чуть_менее_ненужно или даже иногда в нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #31

28. Сообщение от типа аноним (?), 29-Сен-18, 15:59   +/
Врядли об этом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

29. Сообщение от пох (?), 29-Сен-18, 16:15   –1 +/
> А ведь могли по тихому использовать уязвимость

как ее можно по тихому использовать- постить от твоего имени котиков?
смотреть твою хомпорнуху в закрытых видео?
нахрен кому ты сдался?

вот одновременные 50 миллионов лайков под какой-нибудь политической херней (или жалоб на неугодные акаунты) - вполне способны превратиться во вполне реальные денежки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #34

30. Сообщение от типа аноним (?), 29-Сен-18, 16:18   +/
Так много ЧСВ не накрутишь...
Ну и не так приколько хакеру, согласитесь.

А, вообще да, нынче пошли какие то продажные хакеры массово, что то там тихо ковыряются как ковырялки;) накручивая бабло или трояны в сервера заливая но чаще опять же с той же целью, везде бабло и толерантность, косвенно купили всех! Или почти. Хакерство стало каким то тупо ремеслом, вместо "арта", вот что делают деньги и просто превращение в обыденность/работу.
В принципе, та же проблема зачастую и у программистов, художников и т.д.
Думаю нельзя смешивать хобии с работой, даже если кажется что это одно и тоже, хобби вытеснится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #43

31. Сообщение от космонавт (?), 29-Сен-18, 16:42   +/
так, я чего-то не понял - "Дракона" со свежей порнухой и анальными гaндoнами в ноябре не ждать?  Остались только дурацкие "прогрессы" с лаптями и матрешками?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

34. Сообщение от Аноним (34), 29-Сен-18, 18:19   +5 +/
Слышал за посадки на бутылку за картинки в закрытых альбомах? Ну так вот... А ещё закупают троллей и мониторинг в ВК.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #35

35. Сообщение от тов.майор (?), 29-Сен-18, 21:09   +1 +/
не, ну вот ты мне предлагаешь - лично вручную мониторить все писять миллионов котиковых аккаунтов в надежде найти антигосударственный лайк, а потом еще каким-то волшебным образом связывать его с владельцем?
у нас в Ольгино на это рабочих ру...глаз не хватит.

если сцукенберг согласен сотрудничать - он прекрасно обеспечит мне контроль твоих лайков своими силами, и скан твоего паспорта, кстати, сперва у тебя спросит под видом валидации акаунта, а потом и мне пришлет - и тогда уже я отправлю по твоему адресу специалистов по работе с бутылочкой.

А если не захочет или выставит слишком большой прайс - все это рыдовы страдания.

Но вот использовать совокупную мощность пятидесяти миллионов хомячков - вполне себе можно. Было бы, если бы этот тайваньский лох или кто там еще, не спалил бы всю малину.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

40. Сообщение от Аноним (-), 30-Сен-18, 19:34   –1 +/
Взлом сайтов это уголовное преступление.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #42

41. Сообщение от Maxim (??), 30-Сен-18, 21:14   –1 +/
Какая такая дыра? Дайте детали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

42. Сообщение от Аноним (42), 30-Сен-18, 21:48   –1 +/
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации это уголовное преступление.

А взлом сайтов - нет.

Ты правда разницу не понимаешь?

Взломать можно свой сайт, например.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

43. Сообщение от Онанимус (?), 01-Окт-18, 10:24   +1 +/
> нынче пошли какие то продажные хакеры массово

Только протрезвился, что ли! Это случилось лет 15 как.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #45

44. Сообщение от Онаним (?), 01-Окт-18, 15:04   +/
Facebook всегда был ужасен - это факт как ни крути, в прошлом вконтактик был хоть и его клоном, но сильно лучше. Сейчас что то что то шлак. Сейчас телеграмчик - самая нормальная соцсеть, запилили бы там ещё отображение сообщений деревом - цены бы им не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

45. Сообщение от типа аноним (?), 01-Окт-18, 16:24   +/
Сам топай протрезвись, я не пью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру