Wyciekły dane dostępowe 50 mln kont na Facebooku

Przemysław Kocięcki
Wyciekły dane dostępowe 50 mln kont na Facebooku

Czy w ciągu ostatnich 24 godzin Twoje konto zostało wylogowane z Facebooka? Jeśli tak, to wiedz, że to nie był odosobniony przypadek - znalazłeś się w gronie 90 milionów "szczęśliwców", których Facebook siłowo wylogował z serwerów z powodu wykrycia naruszenia bezpieczeństwa systemu.

25 września inżynieriowie z FB odkryli lukę w zabezpieczeniach. Luka związana jest z funkcją wyświetlania swojego profilu jako inny użytkownik serwisu ("Wyświetl jako..."). To przydatne narzędzie pozwalające w prosty i szybki sposób sprawdzić które z publikowanych przez nas treści są widoczne dla poszczególnych grup użytkowników. Jednym przyciskiem możemy wyświetlić nasz profil jako gość, znajomy, czy konkretna osoba.

Inżynierowie odkryli, że hakerzy mogli wykorzystać wspomnianą funkcję do przechwycenia tokenów dostępu, wykorzystywanych do automatycznego logowania do serwisu bez konieczności każdorazowego wpisywania hasła. Po przechwyceniu tokenu haker mógł uzyskać dostęp do innego konta bez konieczności podawania hasła.

Omawiany problem mógł dotyczyć nawet 50 milionów kont, ale ze względów bezpieczeństwa Facebook zastosował odpowiednie procedury nie tylko w wypadku kont narażonych bezpośrednio na atak hakerów, ale i tych potencjalnie zagrożonych - w rezultacie wylogowano w sumie około 90 milionów kont. Wylogowanie to efekt wygaszenia ważności tokenów dostępu dla wszystkich wspomnianych kont - dzięki temu wszystkie tokeny przechwycone przez hakerów zostały unieważnione i nie pozwolą już na nieuprawnione logowanie.

Inżynierowie zapewniają, że luka została załatana, a o całej sprawie powiadomiono odpowiednie służby - ostatni fakt każe przypuszczać, że mamy do czynienia ze zorganizowaną akcją hakera lub grupy hakerów.

Blog Comments powered by Disqus.