Facebook padł ofiarą cyberprzestępców. Mogli uzyskać dostęp do kilkudziesięciu milionów kont
Dziś wielu moich znajomych skarżyło się na niespodziewane wygaśnięcie sesji logowania w należących do Facebooka aplikacjach. Jak się okazuje, nic nie dzieje się bez przyczyny i to część reakcji na włamanie.
A więc to nie zwykła czkawka w działaniu usługi. Facebook przyznał, że padł ofiarą ataku ze strony cyberprzestępców, który mógł skutkować podejrzeniem naszych prywatnych danych. W pesymistycznym scenariuszu, atakujący mogli mieć dostęp do nawet 50 mln kont. W tym do ich najbardziej ukrytych zakamarków, takich jak prywatne wiadomości tekstowo-obrazkowe.
Atakujący wykorzystali wadę w mechanizmie pozwalającym testować ustawienia prywatności. Każdy z nas może sprawdzić, jak prezentuje się nasz profil przeglądając go jako dowolna wskazana przez nas osoba lub grupa – to przydatne narzędzie, gdy chcemy się upewnić, że część informacji na nasz temat widzą wyłącznie odpowiednie, zazwyczaj najbliższe nam osoby. Jak się okazało, token wykorzystywany w tym mechanizmie można przejąć z zewnątrz – tym samym zyskując nielimitowany dostęp do danego profilu.
Szczegóły techniczne awarii nie są znane. Po włamaniu przestępcy mogli podejrzeć dane nawet 50 mln osób na Facebooku.
Facebook dopiero rozpoczął śledztwo w sprawie omawianego ataku. Nie może jeszcze określić dokładnie jak wykorzystano usterkę i ile osób jest na jej skutek poszkodowanych, a także kto odpowiada za włamanie. Na wszelki wypadek tymczasowo wyłączono funkcję podglądu profili jako inny użytkownik, zresetowano też wszystkie opierające się na tokenach sesje – to właśnie dlatego wielu z nas musiało się na nowo logować dziś na Facebooka i Messengera.
Według danych Facebooka, funkcja podglądu została wykorzystana na 50 mln profili w ostatnich tygodniach i na kolejnych 40 mln w przeciągu ostatniego roku. Wszystkim 90 mln na wszelki wypadek wygaszono wszystkie aktywne sesje logowania.
Niestety, nie możemy sprawdzić na własną rękę, czy ktoś włamał się na nasze konto i przeglądał nasze prywatne dane. Na wszelki wypadek – tak dla pewności – warto dziś zmienić facebookowe hasło na jakieś nowe. A czynność tą powtarzać cyklicznie co kilka tygodni.
