Brudd påvirker 50m kontoer tok fordel av “tokens”, et system som brukes av tredjeparts plattformer som Spotify
@tynanwrites
Ons 3 Okt 2018 01.07 BST
Første gang publisert på Ons 3 Okt 2018 00.39 BST
Feil i visse Facebook har resultert i at brukeren tokens for å bli utsatt for angripere.
Foto: Christophe Morin/IP3/Getty Images
Husk Facebook hack forrige uke at kompromittert minst 50m kontoer? Det er verre enn du tror.
Sist fredag, sosiale medier selskapet avdekket en sårbarhet som gjorde det mulig for angripere å stjele automatisert påloggingsinformasjon (eller “tokens”).
Merkene gjøre det lettere for folk å logge inn på populære apper og-tjenester som Spotify, Pinterest, eller Yelp. Feilen, som har vært til stede siden juli 2017, ble oppdaget i forrige måned etter at Facebook ingeniører lagt merke til uvanlig logg aktivitet.
Mens omfanget av at angrep er fortsatt å bli oppdaget, uavhengige forskere sier de skader som kan strekke seg langt utenfor Facebook grenser.
Jason Polakis, assistant professor of computer science ved University of Illinois i Chicago, nylig har co-forfattet en artikkel om sårbarheter i Single Sign-On (SSO) systemer, lik den som brukes av Facebook.
Polakis sier token brudd påvirker langt mer enn Facebook – det er en potensiell bakdør til tusenvis av tredjeparts-apper og nettsteder.
‘Snarveier konsekvensene”
Enkelt sagt, en token er en unik kombinasjon av bokstaver og tall som kan brukes til å automatisk logge deg inn på andre applikasjoner og nettsider, slik at du ikke trenger å fortsette å skrive inn passordet ditt.
Dessverre, fra et sikkerhetsmessig ståsted, ved hjelp av Facebook eller andre sosiale medier app for å logge inn på andre tjenester er ikke en smart ting å gjøre, sier Dana Simberkoff, chief risk, personvern og informasjonssikkerhet offiser for enterprise-sikkerhet fast Avepoint.
“Det er enkelt og praktisk, men når du bruker hurtigtaster, kan det få konsekvenser, sier hun. “Du bør ikke bruke en app for å logge inn på en annen, fordi når en av disse systemene er svekket, og alt annet du arbeider med kan være så godt.”
Facebook sier nesten 50 brukere kompromittert i stor sikkerhetsbrudd
Les mer
Dette er nøyaktig hva som skjedde. Takket være flere bugs i Facebook ‘ s View As og video innlegg funksjoner, bruker tokens ble utsatt for angriperne, som deretter hentet dem fra siden i HTML-koden.
Når en angriper oppdaget hvordan å stjele en persons token, det ville være en enkel sak å automatisere prosessen med å invadere millioner av Facebook-kontoer, samt tredjeparts kontoer (som Spotify eller Pinterest) som er avhengige av disse Facebook-token.
I respons, Facebook deaktivert buggy har på sin side, endret tokens for 90 millioner brukere, og logget dem ut. Når brukere logger deg på igjen, en ny token er generert. Selv om det kan stoppe fremtidige angripere fra å stjele deres påloggingsinformasjon, kan det ikke gjøre mye for å redusere eventuelle kompromisser som allerede har skjedd.
Med andre ord, hvis angriperne allerede har brukt din Facebook legitimasjonen til å logge inn på en av appene dine, kan de fortsatt være det, avhengig av appens innstillinger for sikkerhet, sier Polakis.
“Hvis de bruker poletter til å angripe tredje-parti apps før merkene ble ugyldiggjort, blir ting mye vanskeligere, sier han. “På mange nettsteder, fant vi ut at angripere kan tilbakestille kontoen er e-post og deretter angi et passord uten å vite konto faktiske passord. Så selv om single sign-on ikke lenger arbeider og angriper ikke lenger har tilgang til Facebook-kontoen din, kan de likevel ha tilgang til tredjeparts konto.”
Når testing dette angrepet scenario, Polakis og hans andre forskere tilgang til kontoer på 29 av nettets mest populære nettsteder, og som fortsatt var i stand til å logge inn 22 av dem, selv etter å miste tilgangen til Facebook-kontoer.
Det blir enda verre. Selv om du aldri har brukt Facebook ‘ s logg inn for en app eller et nettsted, kan en angriper kan fortsatt bruke en token å logge seg inn som deg, forutsatt at du bruker samme e-postadresse for begge tjenestene, sier Polakis.
Og hvis du ennå ikke har en konto på disse tjenestene, angripere kan bruke polletter for å lage en i ditt navn, som kan sitte sovende venter på deg til slutt å logge deg på, slik at de kan stjele din personlige informasjon.
Hva kan du gjøre?
The Guardian kontaktet seks av de mest populære apper og nettsteder, samt Facebook, for å be om deres råd om hvilke tiltak som brukerne bør ta. Yelp hadde ingen kommentar, mens en Spotify-talsmann sa musikk-tjenesten hadde ikke vært utsatt for et sikkerhetsbrudd, og anbefales for brukere å endre passordene sine. På publiseringstidspunktet, er det ingen andre selskaper som hadde reagert.
Endre ditt passord kan eller ikke kan hjelpe, avhengig av programmet, men det er en fornuftig ting å gjøre, sier Polakis. Hvis du frykter at du allerede har blitt kompromittert, bør du også se etter uvanlig aktivitet på disse kontoene, legger han til.
Alle brukere kan øve bedre app hygiene ved å deaktivere tillatelser som kan være satt som standard og fjerne apper de bruker sjelden, foreslår, Vil LaSala, direktør for sikkerhet løsninger på pålitelige identitet plattform OneSpan. Han anbefaler også å slå på tofaktors godkjenning når den er tilgjengelig, som ber om en ekstra faktor (som en PIN-kode som sendes via sms) når systemet oppdager pålogginger fra ukjente enheter.
Du kan forhindre lignende angrep i fremtiden ved å deaktivere auto-pålogging for Facebook og andre tredjeparts godkjenning systemer, for eksempel Google eller Twitter, foreslår Simberkoff.
Med andre ord, trenger du ikke å ofre sikkerhet for enkelhets skyld.
“Det kan være tidkrevende og irriterende å endre måten du godkjennes i hvert system,” sier hun. “Men du bør være kaptein på ditt eget skip, og skjebnen til din personlige informasjon er i dine hender.”