Facebook poinformował dziś rano, że jego zespół techniczny odkrył we wtorek, że hakerzy wykorzystali lukę w kodzie, umożliwiającą hakerom kradzież tokenów dostępu do Facebooka na prawie 50 milionów kont.
Według Facebooka hakerzy wykorzystali luki w zabezpieczeniach w kodzie „Zobacz jako”, który jest funkcją, która pozwala ludziom zobaczyć, jak wygląda ich profil dla kogoś innego. Skradzione tokeny dostępu do Facebooka to klucze cyfrowe, które pozwalają użytkownikom pozostać zalogowanym na Facebooku.
Ten atak wykorzystał złożoną interakcję wielu problemów w naszym kodzie. Wynika to ze zmiany wprowadzonej w funkcji przesyłania filmów w lipcu 2017 roku, która miała wpływ na funkcję „Wyświetl jako”. Atakujący nie tylko musieli znaleźć tę lukę i użyć jej do uzyskania tokena dostępu, następnie musieli przestawić się z tego konta na innych, aby ukraść więcej tokenów.
Facebook twierdzi, że luka została już załatana oraz że powiadomił o tym fakcie odpowiednie władze. Facebook zresetował tokeny dostępu do prawie 50 milionów kont, które zostały dotknięte wraz z kolejnymi 40 milionami kont, które zostały poddane wyszukiwaniu „Zobacz jako” w zeszłym roku.
Klienci, którzy wylogowali się ze swoich aplikacji, otrzymają wiadomość o tym, co się stało po ich ponownym zalogowaniu.
Podczas przeprowadzania przeglądu bezpieczeństwa Facebook wyłączył funkcję „Wyświetl jako” użytą do zhakowania.
Facebook twierdzi, że „przykro mu, że to się stało” i że prywatność i bezpieczeństwo ludzi „jest niezwykle ważne.” Według Facebooka, nikt nie musi zmieniać swoich haseł, ale osoby zainteresowane mogą odwiedzić sekcję „Bezpieczeństwo i logowanie” w ustawieniach, aby wylogować się ze wszystkich urządzeń naraz.
