The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Facebook привела к захвату контроля над 50 миллионами учётных записей

29.09.2018 09:23

Facebook раскрыл сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.

Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок, по отдельности не представляющих большой опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.

Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.

Третья ошибка проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме "View As" загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен создаётся не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница. Таким образом, атакующий может получить токены доступа к учётным записям сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима "View As".

16 сентября инженерами Facebook был зафиксирован всплеск аномальной активности. Анализ данного всплеска позволил определить наличие вредоносной деятельности и воссоздать метод проведения атаки. Полностью уязвимости были определены и устранены 25 сентября. В том числе Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме (пользователям потребуется перезайти в свой аккаунт).

Всего отозваны токены 90 млн пользователей, из которых 50 млн были непосредственно атакованы и ещё 40 млн, которые использовали функцию "View As" с момента появления уязвимости (начиная с июля 2017 года). Пользователи имеют возможность проанализировать свои входы и подключаемые устройства в разделе анализа сеансов, но сообщается, что атакующие ограничились получением токенов (получение токена не отражается в логе входов), но до блокировки не успели массово ими воспользоваться.

Влияние атаки может быть значительно шире, чем предполагается, так полученные токены могли использоваться не только для входа в Facebook, но для подключения к любым сайтам и приложениям, использующим Facebook в качестве провайдера для идентификации. Пока не ясно имела ли атака целевой характер и была ли сосредоточена на определённой категории пользователей или регионе. Тем не менее уже объявлено, что в числе скомпрометированных учётных записей были аккаунты Марка Цукерберга и Шерил Сэндберг (исполнительный директор Facebook).

Интересно, что вчера исследователь безопасности из Тайваня заявил о намерении провести live-трансляцию удаления учётной записи Марка Цукерберга. Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook. Детали уязвимости будут опубликованы после оплаты вознаграждения, вручаемого в рамках программы содействия исследователям безопасности. На пресс-конференции, посвящённой проблеме с получением токенов для 50 миллионами учётных записей, было упомянуто, что это разные уязвимости.

  1. Главная ссылка к новости (https://newsroom.fb.com/news/2...)
  2. OpenNews: Уязвимость, позволявшая сменить пароль любого пользователя Facebook
  3. OpenNews: Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo
  4. OpenNews: Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
  5. OpenNews: Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin
  6. OpenNews: Проект Gentoo опубликовал отчёт о взломе своих репозиториев на GitHub
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: facebook
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (32) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.3, Константавр (ok), 10:52, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А я думаю, на почту пришло письмо - "Здравствуйте, Константавр!Кажется, у вас возникли проблемы с входом в аккаунт. Нажмите кнопку ниже, если вам нужна помощь.  Войти одним кликом  
    ". Я взял и поменял пароль сразу, мало ли. А оно вот как.
     
     
  • 2.16, Аноним (16), 12:38, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    И ты уверен, что поменял его там, где надо тебе?
     
     
  • 3.25, Константавр (ok), 15:05, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, я не переходил по ссылке в письме, если ты обэтом.
     
     
  • 4.28, типа аноним (?), 15:59, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Врядли об этом.
     

  • 1.4, anonymous (??), 11:00, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Спасибо GDPR за это!
     
     
  • 2.21, имя (?), 13:12, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что толку от этого ЛДПР если Цукерберг не заплатит?
     

  • 1.5, Аноним (5), 11:12, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну, схлопнется, значит будем собирать данные из других соц. сетей и источинков. Всего-то... На данный момент - это лишь проблема фейсбука, как удержать пользователей.
     
  • 1.6, Нанобот (ok), 11:16, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А ведь могли по тихому использовать уязвимость и оставаться незамечеными годами (возможно кто-то другой прямо сейчас так и делает)...
     
     
  • 2.29, пох (?), 16:15, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А ведь могли по тихому использовать уязвимость

    как ее можно по тихому использовать- постить от твоего имени котиков?
    смотреть твою хомпорнуху в закрытых видео?
    нахрен кому ты сдался?

    вот одновременные 50 миллионов лайков под какой-нибудь политической херней (или жалоб на неугодные акаунты) - вполне способны превратиться во вполне реальные денежки.

     
     
  • 3.34, Аноним (34), 18:19, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Слышал за посадки на бутылку за картинки в закрытых альбомах? Ну так вот... А ещё закупают троллей и мониторинг в ВК.
     
     
  • 4.35, тов.майор (?), 21:09, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не, ну вот ты мне предлагаешь - лично вручную мониторить все писять миллионов котиковых аккаунтов в надежде найти антигосударственный лайк, а потом еще каким-то волшебным образом связывать его с владельцем?
    у нас в Ольгино на это рабочих ру...глаз не хватит.

    если сцукенберг согласен сотрудничать - он прекрасно обеспечит мне контроль твоих лайков своими силами, и скан твоего паспорта, кстати, сперва у тебя спросит под видом валидации акаунта, а потом и мне пришлет - и тогда уже я отправлю по твоему адресу специалистов по работе с бутылочкой.

    А если не захочет или выставит слишком большой прайс - все это рыдовы страдания.

    Но вот использовать совокупную мощность пятидесяти миллионов хомячков - вполне себе можно. Было бы, если бы этот тайваньский лох или кто там еще, не спалил бы всю малину.

     
  • 2.30, типа аноним (?), 16:18, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так много ЧСВ не накрутишь...
    Ну и не так приколько хакеру, согласитесь.

    А, вообще да, нынче пошли какие то продажные хакеры массово, что то там тихо ковыряются как ковырялки;) накручивая бабло или трояны в сервера заливая но чаще опять же с той же целью, везде бабло и толерантность, косвенно купили всех! Или почти. Хакерство стало каким то тупо ремеслом, вместо "арта", вот что делают деньги и просто превращение в обыденность/работу.
    В принципе, та же проблема зачастую и у программистов, художников и т.д.
    Думаю нельзя смешивать хобии с работой, даже если кажется что это одно и тоже, хобби вытеснится.

     
     
  • 3.43, Онанимус (?), 10:24, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > нынче пошли какие то продажные хакеры массово

    Только протрезвился, что ли! Это случилось лет 15 как.

     
     
  • 4.45, типа аноним (?), 16:24, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сам топай протрезвись, я не пью.
     

  • 1.7, Аноним (-), 11:20, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Люди сами проблемы себе создают. Как площадка для публикации ФБ уродлив. Соцсети кроме опеннета не нужны.
     
     
  • 2.10, A.Stahl (ok), 11:25, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Опеннет уже стал соцсетью, да ещё и не уродливой? Ох-х-х...
     
     
  • 3.12, имя (?), 11:28, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +21 +/
    по сравнению с фб интерфейс опеннета - верх эргономики!
     
     
  • 4.13, Аноним (13), 11:38, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    UX 10/10
     
  • 4.14, Аноним (13), 11:39, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Спасибо, что не Реакт.
     
  • 2.44, Онаним (?), 15:04, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Facebook всегда был ужасен - это факт как ни крути, в прошлом вконтактик был хоть и его клоном, но сильно лучше. Сейчас что то что то шлак. Сейчас телеграмчик - самая нормальная соцсеть, запилили бы там ещё отображение сообщений деревом - цены бы им не было.
     

  • 1.8, Аноним (13), 11:22, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В GitLab есть точно такая дыра.
     
     
  • 2.15, Аноним (15), 12:33, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    такая же многоэтажка и не горит!
     
  • 2.41, Maxim (??), 21:14, 30/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какая такая дыра? Дайте детали.
     

  • 1.11, Аноним (11), 11:26, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Завтра трансляция взлома фейсбука отменяется?
     
     
  • 2.18, Аноним (18), 12:45, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Увы
     
  • 2.24, Аноним (-), 14:34, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Будет! Это индийский хакер отказался, НО тайванский хакер не отказывался - https://itc.ua/news/haker-samouchka-zayavil-chto-v-pryamom-efire-udalit-strani
     
  • 2.40, Аноним (-), 19:34, 30/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Взлом сайтов это уголовное преступление.
     
     
  • 3.42, Аноним (42), 21:48, 30/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации это уголовное преступление.

    А взлом сайтов - нет.

    Ты правда разницу не понимаешь?

    Взломать можно свой сайт, например.

     

  • 1.17, Аноним (17), 12:39, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Очуметь! Захватили 50 млн. учёток от ненужно.
     
     
  • 2.26, Аноним (26), 15:19, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но, как и написано чуть дальше в тексте, любая из учёток от этого ненужно могла быть использована для авторизации в другом ненужно, чуть_менее_ненужно или даже иногда в нужно.
     

  • 1.20, Аноним (20), 12:55, 29/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook

    Похоже до него добрались раньше чем он мог себе представить :)

     
     
     
    Часть нити удалена модератором

  • 3.31, космонавт (?), 16:42, 29/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    так, я чего-то не понял - "Дракона" со свежей порнухой и анальными гaндoнами в ноябре не ждать?  Остались только дурацкие "прогрессы" с лаптями и матрешками?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру