Η ευπάθεια προκύπτει από το χαρακτηριστικό του Facebook "View As", το οποίο αφήνει χρήστες να δουν τα δικά τους προφίλ όπως θα τα έβλεπε κάποιος επισκέπτης. Οι χάκερς εκμεταλλεύτηκαν τον κώδικα που σχετίζεται με το συγκεκριμένο χαρακτηριστικό και κατάφεραν να αποκτήσουν πρόσβαση που μπορούσε να τους δώσει τον έλεγχο λογαριασμών (access tokens).
Αυτά τα κλειδιά που τους έδωσαν την παραπάνω πρόσβαση δεν είναι το password των χρηστών, αλλά τους επιτρέπουν να έχουν πρόσβαση στους λογαριασμούς χωρίς να απαιτείται ο κωδικός ασφαλείας. Ως προληπτικό μέτρο, το Facebook ανάγκασε περίπου 90 εκατ. χρήστες να κάνουν log out, όπως αναφέρει η εταιρεία.
Το κοινωνικό δίκτυο αναφέρει ότι ανακάλυψε την επίθεση νωρίτερα μέσα στην εβδομάδα και ενημέρωσε τις αρμόδιες Αρχές. Η έρευνα βρίσκεται σε πρώιμα στάδια και το Facebook δεν γνωρίζει ακόμη ποιος βρίσκεται πίσω από τις επιθέσεις.
"Αντιμετωπίζουμε συνεχώς επιθέσεις από άτομα που προσπαθούν να πάρουν τον έλεγχο λογαριασμών ή να υποκλέψουν πληροφορίες σε όλο τον κόσμο", ανέφερε ο Μαρκ Ζούκερμπεργκ σε μια ανάρτηση στο Facebook. "Παρόλο που είμαι χαρούμενος που το εντοπίσαμε, διορθώσαμε την ευπάθεια και ασφαλίσαμε τους λογαριασμούς που ενδεχομένως επηρεάστηκαν, η πραγματικότητα είναι ότι χρειάζεται να συνεχίσουμε να αναπτύσσουμε νέα εργαλεία για να αντιμετωπίσουμε αντίστοιχες καταστάσεις στο μέλλον προτού πραγματοποιηθούν."
Η κατάσταση έρχεται σε μια περίοδο που το Facebook βρίσκεται υπό έλεγχο για τη διατήρηση της ιδιωτικότητας των χρηστών και των έλεγχο των δεδομένων τους. Ακόμα "αναρρώνει" από το σκάνδαλο της Cambridge Analytica τον περασμένο Μάρτιο, κατά το οποίο η βρετανική εταιρεία είχε πρόσβαση σε προσωπικές πληροφορίες 87 εκατ. χρηστών.
Η ευπάθεια που ανακαλύφθηκε τώρα ήρθε από μια αλλαγή που έγινε τον Ιούλιο του 2017, όταν το Facebook άλλαξε τον τρόπο που οι χρήστες ανεβάζουν βίντεο. Το Facebook ακόμα ερευνά την επίθεση και δεν ξέρει το μέγεθος της ζημιάς και τον όγκο πληροφοριών που κλάπηκαν, αλλά ούτε και ποιος βρίσκεται πίσω από το hack. Επειδή η επίθεση βασίζεται στα access tokens και όχι στα passwords, η εταιρεία έκανε σαφές ότι δεν είναι απαραίτητο οι χρήστες να αλλάξουν τις προτιμήσεις ασφαλείας τους.
Τα access tokens είναι ένας κωδικός που δίνεται σε κάποιον χρήστη αφού μπει στο σύστημα για πρώτη φορά. Χρησιμοποιούνται συχνά στα sites ώστε να μην χρειάζεται να κάνετε συνεχώς login κάθε φορά που επισκέπτεστε μια σελίδα. Το Facebook τα χρησιμοποιεί για logins και επιτρέπει ασφαλή πρόσβαση χωρίς κωδικό.
"Η ιδιωτικότητα των χρηστών και η ασφάλεια είναι εξαιρετικά σημαντική και ζητάμε συγγνώμη για το συμβάν", αναφέρει σε ανάρτησή του ο Guy Rosen, αντιπρόεδρος του Facebook product management.
"Γι' αυτό δράσαμε άμεσα για να διασφαλίσουμε τους λογαριασμούς και να ενημερώσουμε τους χρήστες."
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου