Přístupové tokeny 50 mil. facebookových účtů ukradeny. Ohroženy byly i služby třetích stran

1. 10. 2018

Sdílet

 Autor: Redakce
Kombinace tří slabých míst v zabezpečení vedla k tomu, že byly ukradeny přístupové tokeny k 50 milionům uživatelských účtů na Facebooku. Dalších 40 milionů účtů je ohroženo potenciálně. Tokeny přitom tomu, kdo je zcizil, zpřístupnily nejen facebookové účty, ale také účty služeb, kam se dotyčná osoba přihlašovala pomocí Facebooku.

V pátek Facebook oznámil, že dne 25. září odhalil tři slabá místa v zabezpečení své sociální platformy, skrze která byl proveden hackerský útok. Ten se přímo dotkl 50 milionů uživatelských účtů. Zneužita byla funkce, jež umožňuje, abyste si svůj profil prohlédli pohledem někoho jiného. Ačkoli je podle Facebooku šetření teprve na začátku, kvůli děravému kódu byly zcizeny přístupové tokeny. Díky nim by se útočníci či útočnice mohli dostat do účtů bez znalosti hesel. Facebook tvrdí, že příslušnou díru opravil. Dále resetoval přístupové tokeny 90 milionů uživatelských účtů. Pokud se vás problém dotkl, museli jste se na každém svém zařízení přihlásit znovu, což je ovšem malá daň za to, že ty ukradené nemohly už být znovu použity k získání přístupu k účtu. Stalo se: Dvoufaktorové přihlašování Facebook používá pro cílení reklam

90 milionů účtů použilo funkci „Zobrazit jako“

Proč je najednou řeč o 90 milionech? Facebook uvedl, že v případě 50 milionů účtů došlo ke zcizení tokenů, v dalších 40 milionech účtů pak v posledním roce byla použita funkce „Zobrazit jako“. Jedná se tedy o preventivní opatření. Po přihlášení se v dotčených účtech zobrazila nebo zobrazí informace o tom, co se stalo. Zmíněná funkce zůstává dočasně vypnutá.

Ačkoli Facebook tvrdí, že díry vyřešil, ještě ji chce nějakou dobu zkoumat, aby se ujistil, že ji nelze znovu zneužít. Díry v kódu vznikly v červnu 2017, kdy vývojový tým upravil funkci pro nahrávání videí. Ačkoli by prohlížení pohledem jiného účtu nemělo umožnit na profilové stránce žádnou interakci ve vztahu k modifikaci účtu, bylo možné do něj nahrát video.

Komponenta pro nahrávání videa pak trpěla vlastním nedostatkem, a sice umožnila vygenerovat přístupový token s oprávněním mobilního klienta sociální sítě. A když jste použili funkci „Zobrazit jako“, nástroj pro nahrávání videí vygeneroval přístupový token nikoli pro váš účet, ale pro účet jedince, jehož pohledem jste prohlíželi svůj profil.

Zatím není jasné, jestli byly z dotčených účtů zneužity nebo ukradeny nějaké informace. Na výsledek ale budou dotčené osoby napjatě čekat, protože s účtem si po přihlášení mohli útočnice či útočníci dělat cokoli. Mohli tedy také získat spoustu osobních informací. Není vyloučené, že budou odhaleny další účty, jejichž tokeny byly ukradeny. Podle Facebooku nicméně resetování přístupových tokenů stačí, není třeba měnit hesla.

Ohroženy byly nejen účty na Facebooku

Co Facebook neřekl? Až v rámci druhého konferenčního hovoru firma přiznala, že tokeny mohly být využity rovněž k přihlášení do jiných služeb, kde využíváte přihlášení pomocí Facebooku. V oficiálním oznámení tuto skutečnost zatajuje.

Jedná se přitom o podstatnou informaci, protože pokud někdo získal přístup k vašemu tokenu, mohl si dělat doslova cokoli nejen ve všem facebookovém účtu, podobně mohl provádět nepravosti s jiným účtem, do něhož se přihlašujete skrze Facebook. To se mohlo týkat např. seznamky Tinder, Spotify nebo vyloženě neškodných služeb jako Pixabay. Z domácích služeb se to mohlo dotknout Instagramu, zatímco WhatsAppu nikoli.

Facebooku zřejmě hrozí pokuta

Podle deníku Wall Street Journal je možné, že Facebook za své pochybením schytá pokutu od Evropské unie. V sobotu mu to prozradila Data Protection Commission, jak upozornil Business Insider. Směrnice GDRP, jež vešla v účinnost letos v květnu, požaduje přísnou ochranu uživatelských dat a také včasné hlášení bezpečnostních problémů.

Pokuta by se mohla vyšplhat na 1,6 mld. eur. V podobných případech se pokuty udělují do výše buď 20 milionů eur, nebo 4 % z globálního obratu firmy za loňský rok. Pokud ale Facebook bude spolupracovat, pokuta se mu může vyhnout, jak naznačují dosavadní zkušenosti, případně nemusí být tak vysoká.

bitcoin_skoleni

https://twitter.com/VeraJourova/status/1046405557073190912

https://twitter.com/facebook/status/1046484764692107264