Vi phạm bảo mật được phát hiện bởi các kỹ sư của Facebook (NASDAQ: FB) vào ngày 25 tháng 9 cho phép những kẻ tấn công kiểm soát trực tiếp tài khoản người dùng; chính xác là khoảng 50 triệu.
Vi phạm bảo mật mới nhất của Facebook
Ngoài 50 triệu, Facebook cũng cho biết có 40 triệu tài khoản khác có khả năng bị tổn thương. Tất cả cho biết, công ty đã đăng xuất 90 triệu tài khoản để ngăn chặn thiệt hại thêm.
$config[code] not foundTrong bản cập nhật bảo mật, Facebook thừa nhận cuộc tấn công có thể khai thác sự tương tác phức tạp của nhiều vấn đề trong mã của nó. Điều này xuất phát từ một thay đổi mà công ty đã thực hiện đối với tính năng tải lên video của mình vào tháng 7 năm 2017 ảnh hưởng đến tính năng của Chế độ xem As As.
Facebook cho biết, những kẻ tấn công không chỉ cần tìm lỗ hổng này và sử dụng nó để nhận mã thông báo truy cập, sau đó chúng phải xoay vòng từ tài khoản đó cho người khác để đánh cắp nhiều token hơn.
Cuộc tấn công này không thể xảy ra vào thời điểm tồi tệ hơn đối với Facebook. Công ty đang cố gắng tăng cường bảo mật trước cuộc bầu cử giữa nhiệm kỳ sắp tới, đồng thời cố gắng phục hồi từ fiasco Cambridge Analytica trong đó dữ liệu từ khoảng 87 triệu người dùng đã được chia sẻ với một cơ quan tư vấn chính trị.
Chế độ xem dưới dạng
Tính năng View As cho phép người dùng xem một hồ sơ trông như thế nào đối với người khác.
Những kẻ tấn công đã có thể khai thác ba lỗ hổng hoặc lỗi trong tính năng của Chế độ xem As As. Trong cùng một bản cập nhật bảo mật, Pedro Canahuati, Phó Chủ tịch Kỹ thuật, An ninh và Quyền riêng tư, đã liệt kê những lỗ hổng đó như sau:
- Xem Như cung cấp không chính xác cơ hội để đăng video.
- Một phiên bản mới của trình tải lên video (giao diện sẽ được trình bày do lỗi đầu tiên), được giới thiệu vào tháng 7 năm 2017, đã tạo không chính xác mã thông báo truy cập có quyền của ứng dụng di động Facebook.
- Khi trình tải lên video xuất hiện như một phần của View As, nó đã tạo ra mã thông báo truy cập KHÔNG dành cho người xem, nhưng đối với người dùng, người xem đang tìm kiếm.
Facebook cho biết họ đã tạm thời tắt tính năng View As trong khi tiến hành đánh giá bảo mật.
Lừa Facebook để phát hành Mã thông báo truy cập
Với lỗ hổng này, những kẻ tấn công đã có thể lừa Facebook cấp cho chúng mã thông báo truy cập. Điều này cho phép họ truy cập vào tài khoản người dùng như thể họ là người dùng.
Họ cũng có quyền truy cập vào các dịch vụ mà người dùng có thể đã đăng ký để sử dụng Facebook như Airbnb, Spotify, Tinder hoặc các ứng dụng và trò chơi khác.
Facebook đã thiết lập lại mã thông báo truy cập của 50 triệu tài khoản bị ảnh hưởng cũng như 40 triệu tài khoản bổ sung có thể bị tổn thương.
Nếu tài khoản của bạn là một trong 90 triệu người bị ảnh hưởng bởi sự cố này, bạn sẽ được nhắc đăng nhập lại trên Facebook và bất kỳ tài khoản được liên kết nào.
Ai chịu trách nhiệm?
Trong một cuộc gọi hội nghị (PDF) Guy Rosen, Phó chủ tịch quản lý sản phẩm của Facebook cho biết công ty đã thông báo cho cơ quan thực thi pháp luật và đang làm việc với FBI.
Về việc ai chịu trách nhiệm, Rosen tiếp tục nói rằng thật khó để khám phá ra ai là người đứng sau vụ tấn công, thêm vào Chúng tôi có thể không bao giờ biết.
Hình: Facebook
3 Bình luận
