Pelanggaran keselamatan yang ditemui oleh jurutera Facebook (NASDAQ: FB) pada 25 September membenarkan penyerang mengambil kawalan langsung ke atas akaun pengguna; kira-kira 50 juta daripada mereka menjadi tepat.
Pelanggaran Keselamatan Facebook Terkini
Sebagai tambahan kepada 50 juta, Facebook juga berkata ada lagi 40 juta akaun yang berpotensi terdedah. Semua berkata, syarikat itu mengeluarkan 90 juta akaun untuk mengelakkan kerosakan selanjutnya.
$config[code] not foundDalam kemas kini keselamatan, Facebook mengakui serangan itu dapat mengeksploitasi interaksi kompleks beberapa masalah dalam kodnya. Ini timbul dari perubahan syarikat yang membuat ciri muat naik video pada bulan Julai tahun 2017 yang memberi kesan kepada ciri "Lihat As".
Facebook berkata, "Penyerang tidak hanya perlu mencari kelemahan ini dan menggunakannya untuk mendapatkan token akses, mereka kemudian terpaksa berpindah dari akaun itu kepada orang lain untuk mencuri lebih banyak token."
Serangan ini tidak boleh berlaku pada masa yang lebih buruk untuk Facebook. Syarikat itu cuba merapatkan keamanannya sebelum pilihan raya jangka menengah yang akan datang dan pada masa yang sama cuba untuk pulih dari kegagalan Cambridge Analytica di mana data dari sekitar 87 juta pengguna dikongsi dengan agensi perundingan politik.
Ciri Paparan Sebagai
Ciri Paparan As membolehkan pengguna melihat bagaimana profil kelihatan kepada orang lain.
Penyerang dapat mengeksploitasi tiga kekurangan atau bug dalam ciri "Lihat As". Dalam kemas kini keselamatan yang sama, Pedro Canahuati, Naib Presiden Kejuruteraan, Keselamatan dan Privasi, menyenaraikan kelemahan seperti berikut:
- Lihat Sebaliknya memberi peluang untuk menyiarkan video.
- Versi baru pemuat naik video (antara muka yang akan dibentangkan sebagai akibat daripada bug pertama), yang diperkenalkan pada bulan Julai 2017, secara tidak betul menghasilkan token akses yang mempunyai keizinan aplikasi mudah alih Facebook.
- Apabila pemuat naik video muncul sebagai sebahagian daripada Lihat As, ia menghasilkan token akses TIDAK untuk penonton, tetapi untuk pengguna penonton sedang mencari.
Facebook mengatakan ia telah mematikan ciri Lihat As untuk sementara waktu semasa menjalankan pemeriksaan keselamatan.
Menipu Facebook untuk Menerbitkan Token Akses
Dengan kelemahan ini, penyerang dapat menipu Facebook untuk mengeluarkan mereka tanda-tanda akses. Ini memberi mereka akses kepada akaun pengguna seolah-olah mereka adalah pengguna.
Mereka juga mempunyai akses kepada perkhidmatan pengguna yang mungkin telah mendaftar untuk menggunakan Facebook seperti Airbnb, Spotify, Tinder atau aplikasi dan permainan lain.
Facebook telah menetapkan semula token akses 50 juta akaun yang terjejas serta tambahan 40 juta akaun yang mungkin terdedah.
Sekiranya akaun anda adalah salah satu daripada 90 juta yang terjejas oleh insiden ini, anda akan diminta masuk semula ke Facebook dan mana-mana akaun yang dipautkan.
Siapa yang Bertanggungjawab?
Dalam satu panggilan persidangan (PDF) Guy Rosen, Naib Presiden Pengurusan Produk untuk Facebook berkata syarikat itu telah memberitahu penguatkuasaan undang-undang dan sedang bekerjasama dengan FBI.
Mengenai siapa yang bertanggungjawab, Rosen terus mengatakan bahawa sukar untuk mengetahui siapa yang berada di belakang serangan itu, sambil menambah "Kita mungkin tidak pernah tahu."
Imej: Facebook
3 Komen ▼