Hacknutý Facebook
Facebook oznámil bezpečnostní incident a odhlásil 90 milionů lidí z jejich účtů.
Zveřejněno dne: 05. 10. 2018
Průběh
V neděli 16. září si technici společnosti na monitoringu všimli podezřelého nárůstu aktivity uživatelů a začali se touto anomálií zabývat. V úterý 25. září pak zjistili, že se jedná o útok na aktivní relace uživatelů pomocí dosud neznámé zranitelnosti. Ve středu informovali příslušné úřady, jak GDPR přikazuje, ve čtvrtek opravili danou zranitelnost a začali odhlašovat ovlivněné i potencionálně ovlivněné uživatele. V pátek pak vydali oficiální vyhlášení na svých stránkách. Dle facebooku se útok dotkl 50 milionů účtů a dalších 40 milionů pak bylo odhlášeno preventivně, neboť se nedalo vyloučit, že se také staly obětmi.
Co se stalo
Během útoku byly ukradeny pouze identifikátory aktuálních relací, ne uživatelská hesla. To je důvod, proč byly napadené účty odhlášeny, neboť při odhlášení se tyto identifikátory zneplatní a již není možnost je využít pro přístup k danému účtu. Zároveň se bez znalosti hesla nedají obnovit a napadené účty už by měly být nyní již v bezpečí. Stejně tak, pokud jste nebyli odhlášeni a chcete si být jisti vaší bezpečností, stačí se odhlásit a znovu přihlásit na každém zařízení. Prověřit nedávnou aktivitu na svém účtu a zjistit, zda neproběhlo podezřelé přihlášení, můžete přes Nastavení a „Zabezpečení a přihlašování“. V okně „Kde jste přihlášeni“ uvidíte aktivitu na účtu.
Kolik soukromých informací stihli útočníci zcizit a jak s nimi naloží dál, to zůstává otázkou. Na základě dosavadního vyšetřování byly z účtů údajně stahovány pouze základní informace o profilu, jako jméno, místo bydliště a podobné, nedotkli se však zveřejněných příspěvků, či soukromých zpráv a účty nebyly zneužity aktivním způsobem (například přidáváním příspěvků).
Ačkoli údajně méně než 10% zasažených uživatelů bylo z Evropské Unie, může být tento incident vyhodnocen jako porušení obecného nařízení o ochraně osobních údajů (GDPR). Vzhledem k tomu, že ústředí pro Evropu má Facebook v Irsku, zabývá se případem aktuálně Ireland’s Data Protection Commission (Irská komise pro ochranu údajů). V tom nejhorším případě hrozí Facebooku pokuta až 1.6 mld $.
Kolik soukromých informací stihli útočníci zcizit a jak s nimi naloží dál, to zůstává otázkou. Na základě dosavadního vyšetřování byly z účtů údajně stahovány pouze základní informace o profilu, jako jméno, místo bydliště a podobné, nedotkli se však zveřejněných příspěvků, či soukromých zpráv a účty nebyly zneužity aktivním způsobem (například přidáváním příspěvků).
Ačkoli údajně méně než 10% zasažených uživatelů bylo z Evropské Unie, může být tento incident vyhodnocen jako porušení obecného nařízení o ochraně osobních údajů (GDPR). Vzhledem k tomu, že ústředí pro Evropu má Facebook v Irsku, zabývá se případem aktuálně Ireland’s Data Protection Commission (Irská komise pro ochranu údajů). V tom nejhorším případě hrozí Facebooku pokuta až 1.6 mld $.
Jak dlouho to trvalo
Jak se dá z oficiálních prohlášení odvodit, útok byl detekován již 16. září a až ve čtvrtek 27. září byla zranitelnost opravena. Aktivní masivní útok tedy mohl trvat i více než 11 dní. Nicméně toto je útok, který byl detekován, neboť ovlivnil mnoho uživatelských účtů. Všechny tři zranitelnosti, jejichž kombinace vedla k možnosti zcizení relace, byly na Facebooku přítomné již od července roku 2017. Zůstaly tedy nepovšimnuty „hodnými hackery“ více než rok a mohly být po celou tuto dobu zneužívány v menším měřítku.
Oprava
Facebook tvrdí, že již ve čtvrtek 27. září, tedy ještě před samotným ohlášením incidentu, chybu opravil. Pravdou je, že již není možné útok provést, nicméně slovo „opravil“ je poněkud přehnané. Uživatelskou relaci bylo možné ukrást zřetězením tří zranitelností, přičemž prvním krokem bylo využití funkce „View as“ na vlastním profilu, v češtině „Zobrazit jako“, která umožňovala zkontrolovat, jak se váš profil zobrazuje jiným uživatelům. Oprava chyby pak spočívala v dočasném odstranění této funkcionality; na svém profilu ji aktuálně nenajdete. Předpokládáme však, že po důkladném prošetření a opravě bude do profilů opět přidána.
Technické detaily
Pro ty, které to zajímá, přidáváme i technické detaily útoku, respektive popis tří zranitelností, které dohromady vedly k možnosti zcizit relaci. Zjednodušený popis je převzat přímo z oficiálního vyjádření Facebooku:
Zobrazit jako
Tlačítko „zobrazit jako“ umožňovalo zobrazit svůj profil z pohledu jiného uživatele. Prohlížení profilu v tomto módu by mělo být pouze pasivní, nicméně bug v jedné z funkcí umožňoval nahrát v tomto módu video. Tou funkcí byla možnost popřát vám všechno nejlepší k narozeninám, to okýnko, které vám vždy připomíná, že někdo z přátel slaví narozeniny a měli byste mu popřát vše nejlepší. V náhledu by údajně nemělo být, nicméně zůstávalo zobrazeno.
Video uploader
Nová verze video uploaderu obsahovala bug, který při uploadu vygeneroval přístupový token se stejnými právy jako mobilní aplikace a vložil ho do html kódu. Právě tato chyba je ta, která byla v kódu přítomná od července roku 2017.
Zobrazit jako a video upload
V momentě, kdy byl upload videa přes přání k narozeninám využit v módu „zobrazit jako“, vygeneroval při nahrání videa platný přístupový token. Ovšem platný ne pro váš uživatelský účet, nýbrž pro účet, který jste vybrali pro „zobrazit jako“.
Tímto způsobem bylo možné získat přístup k účtům vašich přátel a z nich pak k účtům jejich přátel a tak dále. Jak to tak často bývá, ty nejzávažnější chyby nejsou technicky náročné a k jejich nalezení a zneužití není potřeba velká technická znalost. Spíše všímavost, postřeh a v mnoha případech také štěstí.
Zobrazit jako
Tlačítko „zobrazit jako“ umožňovalo zobrazit svůj profil z pohledu jiného uživatele. Prohlížení profilu v tomto módu by mělo být pouze pasivní, nicméně bug v jedné z funkcí umožňoval nahrát v tomto módu video. Tou funkcí byla možnost popřát vám všechno nejlepší k narozeninám, to okýnko, které vám vždy připomíná, že někdo z přátel slaví narozeniny a měli byste mu popřát vše nejlepší. V náhledu by údajně nemělo být, nicméně zůstávalo zobrazeno.
Video uploader
Nová verze video uploaderu obsahovala bug, který při uploadu vygeneroval přístupový token se stejnými právy jako mobilní aplikace a vložil ho do html kódu. Právě tato chyba je ta, která byla v kódu přítomná od července roku 2017.
Zobrazit jako a video upload
V momentě, kdy byl upload videa přes přání k narozeninám využit v módu „zobrazit jako“, vygeneroval při nahrání videa platný přístupový token. Ovšem platný ne pro váš uživatelský účet, nýbrž pro účet, který jste vybrali pro „zobrazit jako“.
Tímto způsobem bylo možné získat přístup k účtům vašich přátel a z nich pak k účtům jejich přátel a tak dále. Jak to tak často bývá, ty nejzávažnější chyby nejsou technicky náročné a k jejich nalezení a zneužití není potřeba velká technická znalost. Spíše všímavost, postřeh a v mnoha případech také štěstí.
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?
-
Co zatím dokáží AI jazykové modely?
-
Nechovejme se jako hackeři
-
Kritická zranitelnost Log4j a hrozba její exploitace
-
Red Teaming Operations aneb povolení krást, lhát a podvádět
-
Závažné důsledky zranitelnosti v Microsoft Exchange Server
-
Útok na SolarWinds
-
Finanční ústavy zavádějí protiopatření proti novému typu útoku
-
HackingLab – Vítejte ve světě etických hackerů
-
Naše vyjádření k Meltdown a Spectre zranitelnostem
-
The Panama Papers leak
-
Křehkost IT systémů a nebezpečí jediné chyby
-
Umělá inteligence jako zbraň v rukou útočníků. Naučme se je odhalit.
-
Jak oživit bezpečnostní školení a udělat čtení dokumentů zábavnějším?
-
Školením uživatelů eliminujme novou taktiku kybernetických útoků. Jako ve fotbale.
-
Nebezpečná rychlost
-
O.MG USB kabely a jejich použití v praxi, máme se čeho bát?
-
Vlna vishingu
-
Zachytili jsme novou plošnou phishing-malware kampaň
-
Juice Jacking
-
Masivní nárůst cílených útoků, deepfake i hacktivismus
-
Smítko
-
Ponaučení z jednoho předvánočního pokusu o podvod
BUĎTE U TOHO
Přihlaste se k odběru našich newsletterů, ať vám nic podstatného neuteče.