Задават се още проблеми на за социалната мрежа.
Миналата седмица ви разказахме за инцидента, засягащ Facebook, довел до това, че социалната мрежа се видя принудена да отпише за кратко милиони от техните регистрации. Проблемът се състоеше в открита слабост във View as функцията, позволяваща ви да видите вашия акаунт, както би изглеждал гледан от страничен човек. Въпросната уязвимост е можело да позволи на злоумишленик да достъпи над 50 000 000 акаунта посредством т.нар. „токени за достъп“, позволяващи на потребителите да остават вписани в приложението постоянно. Компанията рестартира въпросните 50 милиона токена, а заедно с тях, оказва се допълнително 40 000 000.
„Тази атака експлоатира сложното взаимодействие между множество функционалности на нашия код. Тя произлиза от промяна, която направихме към услугата, позволяваща качването на видео, въведена през юли 2017. На атакуващата страна им се е наложило откриването не само на тази слабост и използването ѝ, за да достигнат токените, а е трябвали да използват тези акаунти, за да откраднат още“, обяснява Гай Розен, вицепрезидент, „Продуктово управление“ към социалната мрежа.
Сам Къри от Cyberreason споделя пред Info-Security Magazine: „Погледнато в общ план, това е просто поредния пробив и още веднъж конфиденциалността на данните е жертвата тук. Дали става дума за 50 милиона, 100 милиона или за един милиард, не е важно, тъй като истинския проблем е, че всяко едно компрометиране е просто още един удар по конфиденциалността на информацията на всички нас. Днес, потребителите трябва да действат с презупцията, че личните им данни са били откраднати от хакери десетина пъти“.
„Поради това, че тук за засегнати токените за достъп, то е нужно да уточним, че това е еквивалент на комбинацията „потребителско име – парола“, но биват използвани от приложенията, за да се авторизират пред други приложения. Ако сте използвали бутон за вписване в акаунта ви във Facebook в даден сайт, сега изглежда отлично време за потребителите на социалната мрежа да прегледат настройките на приложенията, за да видят на кои игри и приложения са дали достъп до своя акаунт“, обяснява на свой ред Тим Маккей от Synopsys.