The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Facebook привела к захвату контроля над 50 милл..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от opennews (??), 29-Сен-18, 10:42 
Facebook раскрыл (https://newsroom.fb.com/news/2018/09/security-update/) сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.


Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок (https://fbnewsroomus.files.wordpress.com/2018/09/9-28-press-...), по отдельности не представляющих опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Данная проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.


Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.


Третья ошибка  проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме "View As" загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен  создаётся не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница.

Таким образом атакующий может получить токены доступа к учётной записи сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима "View As". Атака была выявлена после анализа всплеска аномальной активности. В настоящее время Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме для просмотрщика видео (подверженным атаке пользователям потребуется перезайти в свой аккаунт).


URL: https://newsroom.fb.com/news/2018/09/security-update/
Новость: https://www.opennet.dev/opennews/art.shtml?num=49366

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от Константавр (ok), 29-Сен-18, 10:52 
А я думаю, на почту пришло письмо - "Здравствуйте, Константавр!Кажется, у вас возникли проблемы с входом в аккаунт. Нажмите кнопку ниже, если вам нужна помощь.  Войти одним кликом  
". Я взял и поменял пароль сразу, мало ли. А оно вот как.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +7 +/
Сообщение от Аноним (16), 29-Сен-18, 12:38 
И ты уверен, что поменял его там, где надо тебе?
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от Константавр (ok), 29-Сен-18, 15:05 
Нет, я не переходил по ссылке в письме, если ты обэтом.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от типа аноним (?), 29-Сен-18, 15:59 
Врядли об этом.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +4 +/
Сообщение от anonymous (??), 29-Сен-18, 11:00 
Спасибо GDPR за это!
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  –2 +/
Сообщение от имя (?), 29-Сен-18, 13:12 
Что толку от этого ЛДПР если Цукерберг не заплатит?
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +3 +/
Сообщение от Аноним (5), 29-Сен-18, 11:12 
Ну, схлопнется, значит будем собирать данные из других соц. сетей и источинков. Всего-то... На данный момент - это лишь проблема фейсбука, как удержать пользователей.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +1 +/
Сообщение от Нанобот (ok), 29-Сен-18, 11:16 
А ведь могли по тихому использовать уязвимость и оставаться незамечеными годами (возможно кто-то другой прямо сейчас так и делает)...
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  –1 +/
Сообщение от пох (?), 29-Сен-18, 16:15 
> А ведь могли по тихому использовать уязвимость

как ее можно по тихому использовать- постить от твоего имени котиков?
смотреть твою хомпорнуху в закрытых видео?
нахрен кому ты сдался?

вот одновременные 50 миллионов лайков под какой-нибудь политической херней (или жалоб на неугодные акаунты) - вполне способны превратиться во вполне реальные денежки.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +5 +/
Сообщение от Аноним (34), 29-Сен-18, 18:19 
Слышал за посадки на бутылку за картинки в закрытых альбомах? Ну так вот... А ещё закупают троллей и мониторинг в ВК.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +1 +/
Сообщение от тов.майор (?), 29-Сен-18, 21:09 
не, ну вот ты мне предлагаешь - лично вручную мониторить все писять миллионов котиковых аккаунтов в надежде найти антигосударственный лайк, а потом еще каким-то волшебным образом связывать его с владельцем?
у нас в Ольгино на это рабочих ру...глаз не хватит.

если сцукенберг согласен сотрудничать - он прекрасно обеспечит мне контроль твоих лайков своими силами, и скан твоего паспорта, кстати, сперва у тебя спросит под видом валидации акаунта, а потом и мне пришлет - и тогда уже я отправлю по твоему адресу специалистов по работе с бутылочкой.

А если не захочет или выставит слишком большой прайс - все это рыдовы страдания.

Но вот использовать совокупную мощность пятидесяти миллионов хомячков - вполне себе можно. Было бы, если бы этот тайваньский лох или кто там еще, не спалил бы всю малину.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от типа аноним (?), 29-Сен-18, 16:18 
Так много ЧСВ не накрутишь...
Ну и не так приколько хакеру, согласитесь.

А, вообще да, нынче пошли какие то продажные хакеры массово, что то там тихо ковыряются как ковырялки;) накручивая бабло или трояны в сервера заливая но чаще опять же с той же целью, везде бабло и толерантность, косвенно купили всех! Или почти. Хакерство стало каким то тупо ремеслом, вместо "арта", вот что делают деньги и просто превращение в обыденность/работу.
В принципе, та же проблема зачастую и у программистов, художников и т.д.
Думаю нельзя смешивать хобии с работой, даже если кажется что это одно и тоже, хобби вытеснится.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

43. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +1 +/
Сообщение от Онанимус (?), 01-Окт-18, 10:24 
> нынче пошли какие то продажные хакеры массово

Только протрезвился, что ли! Это случилось лет 15 как.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от типа аноним (?), 01-Окт-18, 16:24 
Сам топай протрезвись, я не пью.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +7 +/
Сообщение от Аноним (-), 29-Сен-18, 11:20 
Люди сами проблемы себе создают. Как площадка для публикации ФБ уродлив. Соцсети кроме опеннета не нужны.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +1 +/
Сообщение от A.Stahl (ok), 29-Сен-18, 11:25 
Опеннет уже стал соцсетью, да ещё и не уродливой? Ох-х-х...
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +24 +/
Сообщение от имя (?), 29-Сен-18, 11:28 
по сравнению с фб интерфейс опеннета - верх эргономики!
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  –1 +/
Сообщение от Аноним (13), 29-Сен-18, 11:38 
UX 10/10
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +3 +/
Сообщение от Аноним (13), 29-Сен-18, 11:39 
Спасибо, что не Реакт.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

44. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от Онаним (?), 01-Окт-18, 15:04 
Facebook всегда был ужасен - это факт как ни крути, в прошлом вконтактик был хоть и его клоном, но сильно лучше. Сейчас что то что то шлак. Сейчас телеграмчик - самая нормальная соцсеть, запилили бы там ещё отображение сообщений деревом - цены бы им не было.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от Аноним (13), 29-Сен-18, 11:22 
В GitLab есть точно такая дыра.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от Аноним (15), 29-Сен-18, 12:33 
такая же многоэтажка и не горит!
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  –1 +/
Сообщение от Maxim (??), 30-Сен-18, 21:14 
Какая такая дыра? Дайте детали.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от Аноним (11), 29-Сен-18, 11:26 
Завтра трансляция взлома фейсбука отменяется?
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от Аноним (18), 29-Сен-18, 12:45 
Увы
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +1 +/
Сообщение от Аноним (-), 29-Сен-18, 14:34 
Будет! Это индийский хакер отказался, НО тайванский хакер не отказывался - https://itc.ua/news/haker-samouchka-zayavil-chto-v-pryamom-e.../
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

40. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  –1 +/
Сообщение от Аноним (-), 30-Сен-18, 19:34 
Взлом сайтов это уголовное преступление.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

42. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  –1 +/
Сообщение от Аноним (42), 30-Сен-18, 21:48 
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации это уголовное преступление.

А взлом сайтов - нет.

Ты правда разницу не понимаешь?

Взломать можно свой сайт, например.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +3 +/
Сообщение от Аноним (17), 29-Сен-18, 12:39 
Очуметь! Захватили 50 млн. учёток от ненужно.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +2 +/
Сообщение от Аноним (26), 29-Сен-18, 15:19 
Но, как и написано чуть дальше в тексте, любая из учёток от этого ненужно могла быть использована для авторизации в другом ненужно, чуть_менее_ненужно или даже иногда в нужно.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +4 +/
Сообщение от Аноним (20), 29-Сен-18, 12:55 
> Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook

Похоже до него добрались раньше чем он мог себе представить :)

Ответить | Правка | Наверх | Cообщить модератору
Часть нити удалена модератором

31. "Уязвимость в Facebook привела к захвату контроля над 50 милл..."  +/
Сообщение от космонавт (?), 29-Сен-18, 16:42 
так, я чего-то не понял - "Дракона" со свежей порнухой и анальными гaндoнами в ноябре не ждать?  Остались только дурацкие "прогрессы" с лаптями и матрешками?

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру