Facebook раскрыл (https://newsroom.fb.com/news/2018/09/security-update/) сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.

Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок (https://fbnewsroomus.files.wordpress.com/2018/09/9-28-press-...), по отдельности не представляющих опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Данная проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.

Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.

Третья ошибка  проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме "View As" загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен  создаётся не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница.

Таким образом атакующий может получить токены доступа к учётной записи сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима "View As". Атака была выявлена после анализа всплеска аномальной активности. В настоящее время Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме для просмотрщика видео (подверженным атаке пользователям потребуется перезайти в свой аккаунт).

URL: https://newsroom.fb.com/news/2018/09/security-update/
Новость: https://www.opennet.me/opennews/art.shtml?num=49366

• Уязвимость в Facebook привела к захвату контроля над 50 милл...,Константавр, 10:52 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 12:38 , 29-Сен-18
    • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Константавр, 15:05 , 29-Сен-18
      • Уязвимость в Facebook привела к захвату контроля над 50 милл...,типа аноним, 15:59 , 29-Сен-18
• Уязвимость в Facebook привела к захвату контроля над 50 милл...,anonymous, 11:00 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,имя, 13:12 , 29-Сен-18
• Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 11:12 , 29-Сен-18
• Уязвимость в Facebook привела к захвату контроля над 50 милл...,Нанобот, 11:16 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,пох, 16:15 , 29-Сен-18
    • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 18:19 , 29-Сен-18
      • Уязвимость в Facebook привела к захвату контроля над 50 милл...,тов.майор, 21:09 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,типа аноним, 16:18 , 29-Сен-18
    • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Онанимус, 10:24 , 01-Окт-18
      • Уязвимость в Facebook привела к захвату контроля над 50 милл...,типа аноним, 16:24 , 01-Окт-18
• Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 11:20 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,A.Stahl, 11:25 , 29-Сен-18
    • Уязвимость в Facebook привела к захвату контроля над 50 милл...,имя, 11:28 , 29-Сен-18
      • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 11:38 , 29-Сен-18
      • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 11:39 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Онаним, 15:04 , 01-Окт-18
• Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 11:22 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 12:33 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Maxim, 21:14 , 30-Сен-18
• Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 11:26 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 12:45 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 14:34 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 19:34 , 30-Сен-18
    • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 21:48 , 30-Сен-18
• Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 12:39 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 15:19 , 29-Сен-18
• Уязвимость в Facebook привела к захвату контроля над 50 милл...,Аноним, 12:55 , 29-Сен-18
  • Уязвимость в Facebook привела к захвату контроля над 50 милл...,космонавт, 16:42 , 29-Сен-18

А я думаю, на почту пришло письмо - "Здравствуйте, Константавр!Кажется, у вас возникли проблемы с входом в аккаунт. Нажмите кнопку ниже, если вам нужна помощь.  Войти одним кликом  
". Я взял и поменял пароль сразу, мало ли. А оно вот как.

И ты уверен, что поменял его там, где надо тебе?

Нет, я не переходил по ссылке в письме, если ты обэтом.

Врядли об этом.

Спасибо GDPR за это!

Что толку от этого ЛДПР если Цукерберг не заплатит?

Ну, схлопнется, значит будем собирать данные из других соц. сетей и источинков. Всего-то... На данный момент - это лишь проблема фейсбука, как удержать пользователей.

А ведь могли по тихому использовать уязвимость и оставаться незамечеными годами (возможно кто-то другой прямо сейчас так и делает)...

> А ведь могли по тихому использовать уязвимость

как ее можно по тихому использовать- постить от твоего имени котиков?
смотреть твою хомпорнуху в закрытых видео?
нахрен кому ты сдался?

вот одновременные 50 миллионов лайков под какой-нибудь политической херней (или жалоб на неугодные акаунты) - вполне способны превратиться во вполне реальные денежки.

Слышал за посадки на бутылку за картинки в закрытых альбомах? Ну так вот... А ещё закупают троллей и мониторинг в ВК.

не, ну вот ты мне предлагаешь - лично вручную мониторить все писять миллионов котиковых аккаунтов в надежде найти антигосударственный лайк, а потом еще каким-то волшебным образом связывать его с владельцем?
у нас в Ольгино на это рабочих ру...глаз не хватит.

если сцукенберг согласен сотрудничать - он прекрасно обеспечит мне контроль твоих лайков своими силами, и скан твоего паспорта, кстати, сперва у тебя спросит под видом валидации акаунта, а потом и мне пришлет - и тогда уже я отправлю по твоему адресу специалистов по работе с бутылочкой.

А если не захочет или выставит слишком большой прайс - все это рыдовы страдания.

Но вот использовать совокупную мощность пятидесяти миллионов хомячков - вполне себе можно. Было бы, если бы этот тайваньский лох или кто там еще, не спалил бы всю малину.

Так много ЧСВ не накрутишь...
Ну и не так приколько хакеру, согласитесь.

А, вообще да, нынче пошли какие то продажные хакеры массово, что то там тихо ковыряются как ковырялки;) накручивая бабло или трояны в сервера заливая но чаще опять же с той же целью, везде бабло и толерантность, косвенно купили всех! Или почти. Хакерство стало каким то тупо ремеслом, вместо "арта", вот что делают деньги и просто превращение в обыденность/работу.
В принципе, та же проблема зачастую и у программистов, художников и т.д.
Думаю нельзя смешивать хобии с работой, даже если кажется что это одно и тоже, хобби вытеснится.

> нынче пошли какие то продажные хакеры массово

Только протрезвился, что ли! Это случилось лет 15 как.

Сам топай протрезвись, я не пью.

Люди сами проблемы себе создают. Как площадка для публикации ФБ уродлив. Соцсети кроме опеннета не нужны.

Опеннет уже стал соцсетью, да ещё и не уродливой? Ох-х-х...

по сравнению с фб интерфейс опеннета - верх эргономики!

UX 10/10

Спасибо, что не Реакт.

Facebook всегда был ужасен - это факт как ни крути, в прошлом вконтактик был хоть и его клоном, но сильно лучше. Сейчас что то что то шлак. Сейчас телеграмчик - самая нормальная соцсеть, запилили бы там ещё отображение сообщений деревом - цены бы им не было.

В GitLab есть точно такая дыра.

такая же многоэтажка и не горит!

Какая такая дыра? Дайте детали.

Завтра трансляция взлома фейсбука отменяется?

Увы

Будет! Это индийский хакер отказался, НО тайванский хакер не отказывался - https://itc.ua/news/haker-samouchka-zayavil-chto-v-pryamom-e.../

Взлом сайтов это уголовное преступление.

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации это уголовное преступление.

А взлом сайтов - нет.

Ты правда разницу не понимаешь?

Взломать можно свой сайт, например.

Очуметь! Захватили 50 млн. учёток от ненужно.

Но, как и написано чуть дальше в тексте, любая из учёток от этого ненужно могла быть использована для авторизации в другом ненужно, чуть_менее_ненужно или даже иногда в нужно.

> Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook

Похоже до него добрались раньше чем он мог себе представить :)

так, я чего-то не понял - "Дракона" со свежей порнухой и анальными гaндoнами в ноябре не ждать?  Остались только дурацкие "прогрессы" с лаптями и матрешками?