Атакующие проэксплуатировали уязвимость в коде Facebook, затронувшую функцию «Посмотреть как».
Компания Facebook предупредила об ошибке на сайте, воспользовавшись которой злоумышленники могли получить доступ к учетным записям 50 млн пользователей социальной сети. Согласно сообщению вице-президента компании Гая Розена (Guy Rosen), расследование произошедшего все еще на ранней стадии, однако уже сейчас известно, что атакующие проэксплуатировали уязвимости в коде Facebook, затронувшие функцию «Посмотреть как» (View As), позволяющую пользователям увидеть свою страницу до того, как ее просмотрят другие подписчики.
Таким образом киберпреступникам удалось похитить токены доступа (эквиваленты цифровых ключей, удерживающие пользователей авторизованными в Facebook на одном устройстве, исключая необходимость повторного ввода учетных данных при загрузке социальной сети), с помощью которых могли бы перехватить контроль над аккаунтами пользователей.
В целях защиты компания сбросила токены порядка 50 млн учетных записей, затронутых уязвимостью. Кроме того, специалисты соцсети намерены сбросить токены еще 40 млн учетных записей пользователей, использовавших функцию «Посмотреть как» в минувшем году. В результате, порядка 90 млн пользователей Facebook потребуется заново авторизоваться при заходе в соцсеть.
Как уже удалось выяснить инженерам, ошибка связана с изменениями, внесенными в функцию загрузки видео в июле 2017 года. Команда безопасности соцсети заметила неладное после необычного всплеска трафика на серверах и в ходе расследования выявила кибератаку, продолжавшуюся с 16 сентября нынешнего года.
В общей сложности атакующие проэксплуатировали три уязвимости - одну, связанную с функцией загрузки видео, вторую в загрузчике видео, который генерировал токены доступа с разрешением авторизации в мобильном приложении Facebook (как правило, это запрещено). Третья уязвимость заключалась в том, что токены генерировались не для просматривающего страницу, а для того, чей профиль искал пользователь, позволяя злоумышленникам скомпрометировать учетную запись имитируемого пользователя.
В настоящее время в компании разбираются, произошла ли утечка данных и воспользовались ли злоумышленники скомпрометированными учетными записями в злонамеренных целях. Кто стоит за атакой на данный момент также неизвестно.
Большой взрыв знаний каждый день в вашем телефоне