Увечері в п'ятницю компанія Facebook повідомила, що хакери змогли зламати системи захисту соціальної мережі і отримали доступ до даних 50 мільйонів користувачів, розміщених на корпоративних серверах

Для захисту користувачів Facebook довелося примусово зробити скидання авторизації для 50 мільйонів зламаних акаунтів і додатково для 40 мільйонів потенційно зачеплених атакою облікових записів. Дана міра була необхідна, тому що хакери змогли перехопити так звані маркери доступу (Access tokens). Маркер доступу являє собою цифровий ключ, який створюється при вході користувача в обліковий запис і дозволяє зберігати стан успішної авторизації, коли мобільний додаток Facebook намагається відкрити інший розділ соціальної мережі в браузері (наприклад, при натисканні на посилання).

Масштабна атака на Facebook: 50 мільйонів зламаних акаунтів. Як захистити свій обліковий запис

Ідентифікаційний токен не містить пароль користувача, але так як він зберігає стан авторизації, то отримавши токен, ви можете повністю контролювати аккаунт.

Віце-президент продуктового напрямку Facebook, Гай Розен (Guy Rosen) повідомив технічні подробиці:

Окремі розділи сайту використовують технологію єдиного входу (single sign-on), яка дозволяє створювати нові маркери доступу. Працює це таким чином. Наприклад, Ви будете підключені до мобільному додатку Facebook і вирішили відкрити інший розділ Facebook в браузері. В цьому випадку вам не доведеться знову вводити облікові дані, тому що механізм єдиного входу дозволить створити токен доступу для передачі стану аутентифікації браузеру.

Хакери змогли скористатися перевагами трьох різних вразливостей, які використовувалися спільно для перехоплення токенов.

Відомо, що цільові уразливості існували в Facebook як мінімум з липня 2017 року і були пов'язані з функцією "Подивитись як ...", яка дає уявлення про те, як виглядає ваш профіль для інших користувачів. Ця функція призначена для поліпшення конфіденційності і дозволяє переконатися, що певний контент або дані вашого профілю приховані від небажаних контактів.

Наприклад, ви хочете приховати деякі публікації на стіні від вашого заклятого ворога Євгена. Ви можете змінити ваші налаштування приватності, щоб Євген міг бачити тільки певні посади на сторінці. Щоб перевірити, що настройки спрацювали належним чином, ви можете запустити функцію "Подивитись як ...", щоб подивитися ваш профіль від імені Євгена. Звичайно, ви не отримаєте доступ до аккаунту Євгенія - це просто симуляція. Однак, успішна експлуатації вразливостей даної функції могла привести до ситуації, коли хакери дістали маркер доступу Євгенія, успішно увійшли в нього і отримали повний контроль над облікової запис Євгена.

Розен підкреслює, що атакуючі не могли використовувати аккаунт як реальний власник.

Перша помилка в коді приводила до ситуації, коли на певних типах постів, що пропонують привітати користувачів з днем ​​народження, показувався завантажувач відео. Друга помилка призводила до того, що завантажувач відео створював токен доступу з дозволом на вхід в мобільний додаток Facebook, хоча це не є нормальним його поведінкою.

Нарешті, третя помилка виявлялася, коли завантажувач відео показувався при використанні функції "Подивитись як ...". Він знову генерував токен доступу, але не для поточного користувача, а для емуліруемой персони. Якщо повернутися до прикладу вище, то функція дозволяла не тільки подивитися ваш профіль "очима" Євгена, але і сгененіровать токен доступу для повного контролю над його членством.

Розен зазначив:

Саме комбінація даних трьох помилок стала кінцевою вразливістю, яка була виявлена ​​зловмисниками. Щоб запустити атаку, хакерам потрібно було не тільки знайти вразливість, але також отримати токен доступу, а потім перемикатися на інші акаунти для отримання токенов.

Розен переконаний, що дана атака є технічно складною, особливо з огляду на її масштаби - 50 мільйонів зламаних акаунтів. Саме сукупність кількох помилок привела до настільки катастрофічних наслідків.

Розі додав:

Дана атака використовувалася в дуже великих масштабах. Саме це її властивість дозволило швидко виявити факт атаки. Нам поки не відомі випадки неправомірного використання зламаних акаунтів.

Райан Шторз (Ryan Stortz), дослідник безпеки з Trail of Bits, вважає, що у Facebook були всі ресурси випередити хакерів і своєчасно виявити помилки:

Facebook має цілий API-фільтр, який фіксує і передає всі зміни облікового запису, тому компанія повинна була виявити вразливість.

Однак, колишній інженер безпеки Facebook, Зак Морріс (Zac Morris) вважає, що подібні помилки не так просто знайти:

Функція "Подивитись як ..." існує досить давно, і не дивно, що вона містить деякі помилки. Однак, хвилеподібний перехоплення токенов доступу дійсно вражає.

У Facebook діє програма заохочення пошуку вразливостей ( «Програма Баунті»), і у зловмисників був вірний спосіб отримати 30 тисяч доларів, але вони пішли іншим шляхом - це трохи лякає.

Розен запевнив, що хакерам не вдалося вкрасти паролі. Якщо при повторному вході на Facebook стан авторизації збереглося, значить ваш аккаунт не був зламаний і вам не потрібно змінювати паролі. Компанія Facebook тимчасово відключила функцію "Подивитись як" на час розслідування інциденту.

за матеріалами Motherboard . Ілюстрація James Bareham / The Verge

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter