Facebook обяви мащабно посегателство на данни, засегнало най-малко 50 милиона профила. Според официалното изявление на компанията от петък инженерният им екип е открил проблема със сигурността във вторник, 25 септември. Последвали са незабавни мерки, за да се защити сигурността на клиентите.

През целия ден в петък потребители на най-голямата социална мрежа се оплакваха от това, че Facebook постоянно ги “изхвърля” и се налага да въвеждат паролите си, за да влязат отново. Нормалното функциониране на много от платформите за управление на социални мрежи също бе нарушено, заради нулирането на токените.

„Отнасяме се много сериозно към проблема“, каза Марк Зукърбърг в конферентен разговор с репортери. „Компанията полага огромни усилия по сигурността, която обхваща всички наши услуги. Реално ние посрещаме постоянно атаки от хора, които искат да се докопат до чужди профили и да откраднат информация. И се радвам, че засякохме тази, поправихме уязвимостта и защитихме профили, които биха били изложени на риск, но трябва да работим още, за да предотвратим подобни инциденти в бъдеще“.

Разследването на случая е в самото си начало и все още няма подробности за инцидента. Станало е ясно обаче, че хакерите са се възползвали от уязвимост в кода на Facebook, свързана с функцията “Разгледай като”, която дава възможност на потребителите да разгледат собствените си профили все едно са друг потребител. Това е позволило на хакерите да откраднат токени за достъп, които впоследствие могат да използват за кражба на потребителски акаунти.

“Има опасност от фишинг кампании - атаки чрез известия по имейл, че потребителите трябва да си сменят паролата. Facebook никога не изискват пароли и други данни за достъп, така че трябва да се подхожда с особена внимателност”, казва главният стратег по киберсигурност в AMATAS Борис Гончаров. Възможно е тогава потребителите да бъдат препращани към сайтове, които да изглеждат като социалната мрежа, но всъщност да са копия, създадени с цел кражба на данни.

Гончаров допълва, че уязвимостта, която са използвали хакерите, заобикаля цялата идентификация. Затова няма значение дали ще си смените паролите, понеже са уязвени токени за достъп (access tokens). “Вместо това потребителите трябва да следят известията от Facebook, да изпълняват инструкциите на платформата и да вземат допълнителни мерки като например двуфакторна автентикация (2FA)”, съветва експертът.

Този пропуск в сигурността се корени в промяна, която Facebook прави във функционалността за качване на видео през юли 2017 г., което от своя страна се в отразило на функционалността “Разгледай като”.

“В случая става въпрос за атака от типа "кражба на активна сесия" (session hijacking). Характерното за тези атаки е, че се осъществява връзка и се взема вече осъществена сесия, т.е. осъществена връзка межу Facebook и браузъра на потребителя. Голямата опасност се крие в това, че нито засегнатите потребители, нито Facebook са знаели, че паралелно с тях са осъществявали достъп до профилите им напълно непознати хора”, обяснява експертът по киберсигурност от AMATAS Любомир Тулев.

Въпреки че в случая смяна на паролата не е наложителна, Тулев съветва потребителите да си изградят навик да си сменят паролите често, както и те да бъдат различни за различните сайтове и услуги, да не бъдат лесни за налучкване. “Освен това, всеки път когато излизат от сайт, за който се изисква да се "впишат”, потребителите трябва да натискат бутона за изход (“Log Out”), а не директно да затварят браузъра си”, допъва експертът.

Facebook твърдят, че вече са преприели три стъпки в отговор на кибератаката:

  1. Премахнали са уязвимостта и са уведомили органите на реда.
  2. Токените за достъп на почти 50 млн. профила са нулирани. Още 40 млн. профила, които са ползвали “Разгледай като” са в процес на нулиране като предпазна мярка.
  3. Функционалността “Разгледай като” временно е изключена, докато бъде направен обстоен преглед на сигурността й.

Все още обаче има много неизвестни около атаката над Facebook. Не е ясно например дали са извършени злоупотреби със засегнатите профили и дали е достъпена информация през тях. Освен това, все още остава неясно кой стои зад тези атаки или къде се намира.