Facebook je nedavno objavio da postoji ranjivost zbog koje je 50 miliona naloga na ovoj društvenoj mreži u opasnosti. Ranjivost omogućava malicioznim akterima da preuzmu pomenute naloge.
Ovaj bezbednosni propust može skupo koštati Facebook, jer se kompanija, prema novom EU zakonu o privatnosti korisnika, suočava sa potencijalnom kaznom od 1,63 milijarde dolara!
Iz kompanije navode da su napadači eksploatisali ranjivost koja je povezana sa Facebook opcijom "View As", što im je omogućilo da ukradu Facebook tokene koji se kasnije mogu iskoristiti za preuzimanje naloga korisnika. Praktično, u pitanju su 3 različite, međusobno povezane ranjivosti koje hakerima omogućavaju krađu tokena.
Interna istraga je u toku. Pomenuta "View As" opcija omogućava korisniku da sazna kako njegov profil vidi neki drugi korisnik. Recimo, želite da određeni sadržaj sakrijete od korisnika „Pere Perića“. "View As" vam omogućava da proveriti da li ste to uspešno uradili tako što vam daje simulaciju prikaza vašeg profila iz ugla korisnika „Pere Perića“. Međutim, ukoliko ste haker, ove ranjivosti vam omogućavaju da ukradete pristupne tokene za nalog korisnika „Pere Perića“ i da se zatim ulogujete u njegov nalog, što praktično znači da imate kontrolu nad tim nalogom. Dakle, hakeri mogu iskoristiti pristupne tokene za krađu naloga korisnika.
Pristupni tokeni su ekvivalent digitalnim ključevima koji omogućavaju korisnicima da ostanu ulogovani u Facebook, odnosno da ne moraju da unose lozinku svaki put kad koriste aplikaciju.
Ranjivost postoji još od jula 2017. i promene koju je Facebook napravio u opciji uploadovanja video sadržaja. Prvi bug je omogućio da se video uploader pojavi na "View As" stranicama kod određenih postova i da podstiče ljude da naprave rođendanske čestitke. Zbog drugog buga video uploader je generisao pristupne tokene sa dozvolom logovanja u Facebook mobilnu aplikaciju, što inače nije predviđeno. Treći bug (kada se video uploader pojavio kao deo "View As" opcije) je omogućio korisniku da dobije pristupni token ne za svoj nalog, već za nalog osobe za koju je korisnik vršio "View As" simulaciju.
Kada su otkrili ranjivosti, u Facebooku su napravili patch i resetovali bezbednosne tokene za 50 miliona ugroženih naloga, i za svaki slučaj uradili reset i za 40 miliona dodatnih naloga (kod kojih je korišćena "View As" opcija u prethodnih godinu dana). Na kraju su privremeno onemogućili "View As" opciju.
Zbog resetovanja logina, oko 90 miliona korisnika će morati ponovo da se uloguje u Facebook i u sve aplikacije koje koriste Facebook login. Nakon što se ponovo uloguju, izaći će im obaveštenje na vrhu News Feeda sa objašnjenjem situacije.
Kompanija je objavila da napadači nisu ukrali lozinke tako da korisnici ne moraju da ih menjaju.
Update: Prema kasnijim informacijama, ispostavilo se da je broj ugroženih naloga manji nego što se prvobitno mislilo. U pitanju je cifra od blizu 30 miliona.