The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.09.2018 09:23  Уязвимость в Facebook привела к захвату контроля над 50 миллионами учётных записей

Facebook раскрыл сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.

Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок, по отдельности не представляющих большой опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.

Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.

Третья ошибка проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме "View As" загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен создаётся не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница. Таким образом, атакующий может получить токены доступа к учётным записям сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима "View As".

16 сентября инженерами Facebook был зафиксирован всплеск аномальной активности. Анализ данного всплеска позволил определить наличие вредоносной деятельности и воссоздать метод проведения атаки. Полностью уязвимости были определены и устранены 25 сентября. В том числе Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме (пользователям потребуется перезайти в свой аккаунт).

Всего отозваны токены 90 млн пользователей, из которых 50 млн были непосредственно атакованы и ещё 40 млн, которые использовали функцию "View As" с момента появления уязвимости (начиная с июля 2017 года). Пользователи имеют возможность проанализировать свои входы и подключаемые устройства в разделе анализа сеансов, но сообщается, что атакующие ограничились получением токенов (получение токена не отражается в логе входов), но до блокировки не успели массово ими воспользоваться.

Влияние атаки может быть значительно шире, чем предполагается, так полученные токены могли использоваться не только для входа в Facebook, но для подключения к любым сайтам и приложениям, использующим Facebook в качестве провайдера для идентификации. Пока не ясно имела ли атака целевой характер и была ли сосредоточена на определённой категории пользователей или регионе. Тем не менее уже объявлено, что в числе скомпрометированных учётных записей были аккаунты Марка Цукерберга и Шерил Сэндберг (исполнительный директор Facebook).

Интересно, что вчера исследователь безопасности из Тайваня заявил о намерении провести live-трансляцию удаления учётной записи Марка Цукерберга. Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook. Детали уязвимости будут опубликованы после оплаты вознаграждения, вручаемого в рамках программы содействия исследователям безопасности. На пресс-конференции, посвящённой проблеме с получением токенов для 50 миллионами учётных записей, было упомянуто, что это разные уязвимости.

  1. Главная ссылка к новости (https://newsroom.fb.com/news/2...)
  2. OpenNews: Уязвимость, позволявшая сменить пароль любого пользователя Facebook
  3. OpenNews: Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo
  4. OpenNews: Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
  5. OpenNews: Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin
  6. OpenNews: Проект Gentoo опубликовал отчёт о взломе своих репозиториев на GitHub
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: facebook
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Константавр (ok), 10:52, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    А я думаю, на почту пришло письмо - "Здравствуйте, Константавр!Кажется, у вас возникли проблемы с входом в аккаунт. Нажмите кнопку ниже, если вам нужна помощь.  Войти одним кликом  
    ". Я взял и поменял пароль сразу, мало ли. А оно вот как.
     
     
  • 2.16, Аноним (16), 12:38, 29/09/2018 [^] [ответить]    [к модератору]
  • +6 +/
    И ты уверен, что поменял его там, где надо тебе?
     
     
  • 3.25, Константавр (ok), 15:05, 29/09/2018 [^] [ответить]    [к модератору]
  • +/
    Нет, я не переходил по ссылке в письме, если ты обэтом.
     
     
  • 4.28, типа аноним (?), 15:59, 29/09/2018 [^] [ответить]    [к модератору]
  • +/
    Врядли об этом.
     
  • 1.4, anonymous (??), 11:00, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    Спасибо GDPR за это!
     
     
  • 2.21, имя (?), 13:12, 29/09/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Что толку от этого ЛДПР если Цукерберг не заплатит?
     
  • 1.5, Аноним (5), 11:12, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Ну, схлопнется, значит будем собирать данные из других соц. сетей и источинков. Всего-то... На данный момент - это лишь проблема фейсбука, как удержать пользователей.
     
  • 1.6, Нанобот (ok), 11:16, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А ведь могли по тихому использовать уязвимость и оставаться незамечеными годами (возможно кто-то другой прямо сейчас так и делает)...
     
     
  • 2.29, пох (?), 16:15, 29/09/2018 [^] [ответить]     [к модератору]  
  • +/
    как ее можно по тихому использовать- постить от твоего имени котиков смотреть ... весь текст скрыт [показать]
     
     
  • 3.34, Аноним (34), 18:19, 29/09/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Слышал за посадки на бутылку за картинки в закрытых альбомах? Ну так вот... А ещё закупают троллей и мониторинг в ВК.
     
     
  • 4.35, тов.майор (?), 21:09, 29/09/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    не, ну вот ты мне предлагаешь - лично вручную мониторить все писять миллионов ко... весь текст скрыт [показать]
     
  • 2.30, типа аноним (?), 16:18, 29/09/2018 [^] [ответить]     [к модератору]  
  • +/
    Так много ЧСВ не накрутишь Ну и не так приколько хакеру, согласитесь А, во... весь текст скрыт [показать]
     
     
  • 3.43, Онанимус (?), 10:24, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > нынче пошли какие то продажные хакеры массово

    Только протрезвился, что ли! Это случилось лет 15 как.

     
     
  • 4.45, типа аноним (?), 16:24, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Сам топай протрезвись, я не пью.
     
  • 1.7, Аноним (-), 11:20, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Люди сами проблемы себе создают. Как площадка для публикации ФБ уродлив. Соцсети кроме опеннета не нужны.
     
     
  • 2.10, A.Stahl (ok), 11:25, 29/09/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Опеннет уже стал соцсетью, да ещё и не уродливой? Ох-х-х...
     
     
  • 3.12, имя (?), 11:28, 29/09/2018 [^] [ответить]    [к модератору]  
  • +21 +/
    по сравнению с фб интерфейс опеннета - верх эргономики!
     
     
  • 4.13, Аноним (13), 11:38, 29/09/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    UX 10/10
     
  • 4.14, Аноним (13), 11:39, 29/09/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Спасибо, что не Реакт.
     
  • 2.44, Онаним (?), 15:04, 01/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Facebook всегда был ужасен - это факт как ни крути, в прошлом вконтактик был хот... весь текст скрыт [показать]
     
  • 1.8, Аноним (13), 11:22, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В GitLab есть точно такая дыра.
     
     
  • 2.15, Аноним (15), 12:33, 29/09/2018 [^] [ответить]    [к модератору]  
  • +/
    такая же многоэтажка и не горит!
     
  • 2.41, Maxim (??), 21:14, 30/09/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Какая такая дыра? Дайте детали.
     
  • 1.11, Аноним (11), 11:26, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Завтра трансляция взлома фейсбука отменяется?
     
     
  • 2.18, Аноним (18), 12:45, 29/09/2018 [^] [ответить]    [к модератору]  
  • +/
    Увы
     
  • 2.24, Аноним (-), 14:34, 29/09/2018 [^] [ответить]    [к модератору]  
  • +/
    Будет! Это индийский хакер отказался, НО тайванский хакер не отказывался - https://itc.ua/news/haker-samouchka-zayavil-chto-v-pryamom-efire-udalit-strani
     
  • 2.40, Аноним (-), 19:34, 30/09/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Взлом сайтов это уголовное преступление.
     
     
  • 3.42, Аноним (42), 21:48, 30/09/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Неправомерный доступ к охраняемой законом компьютерной информации, если это деян... весь текст скрыт [показать]
     
  • 1.17, Аноним (17), 12:39, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Очуметь! Захватили 50 млн. учёток от ненужно.
     
     
  • 2.26, Аноним (26), 15:19, 29/09/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Но, как и написано чуть дальше в тексте, любая из учёток от этого ненужно могла быть использована для авторизации в другом ненужно, чуть_менее_ненужно или даже иногда в нужно.
     
  • 1.20, Аноним (20), 12:55, 29/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    > Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook

    Похоже до него добрались раньше чем он мог себе представить :)

     
     
     
    Часть нити удалена модератором

  • 3.31, космонавт (?), 16:42, 29/09/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    так, я чего-то не понял - "Дракона" со свежей порнухой и анальными гaндoнами в ноябре не ждать?  Остались только дурацкие "прогрессы" с лаптями и матрешками?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor