Contul dvs. pe Facebook - și site-urile web care utilizează autentificarea Facebook - ar putea fi compromis. Iată ce știm.
Jaap Arriens / Getty ImagesACTUALIZAȚI
02 octombrie 2018, la 22:46În o postare pe blog , Guy Rosen, vicepreședintele Facebook pentru gestionarea produselor, a recunoscut că unele aplicații terțe care folosesc Facebook Login, inclusiv cele care nu folosesc SDK-uri oficiale Facebook sau verifică în mod regulat dacă jetoanele de acces Facebook sunt valabile, pot expune în continuare utilizatorii.
„Construim un instrument care să le permită dezvoltatorilor să identifice manual utilizatorii aplicațiilor lor care ar fi putut fi afectați, astfel încât să le poată deconecta”, a scris Rosen. El nu a menționat când va fi disponibil instrumentul.
Facebook a dezvăluit recent că securitatea 50 de milioane de profiluri a fost compromis când atacatorii au furat jetoane de acces care le-au permis să intre în aceste conturi.
Facebook a descoperit încălcarea marți, 25 septembrie, și a resetat jetoanele de acces, forțând utilizatorii să se conecteze din nou la conturile lor, joi, 27 septembrie. Compania a dezvăluit atacul vinerea trecută.
În plus față de conturile Facebook, jetoanele de acces furate pot compromite și conturile de pe orice site web terță parte care utilizează Facebook Login.
Unii oameni nu sunt siguri despre ce înseamnă asta pentru securitatea conturilor lor de Facebook, așa că iată o defalcare a tot ceea ce știm.
În primul rând, este posibil ca încălcarea să vă fi afectat.
Facebook a resetat jetoanele de acces a 50 de milioane de conturi compromise și, ca măsură de precauție, a resetat încă 40 de milioane de conturi pe care crede că le-ar fi putut fi încălcate.
Prin resetarea jetoanelor, Facebook a invalidat jetoanele furate. Utilizatorii au fost obligați să reintroducă parolele și să se conecteze din nou la conturile lor de Facebook.
În timp ce utilizatorii WhatsApp nu sunt afectați (WhatsApp este deținut de Facebook), utilizatorii Instagram ar putea fi, de aceea compania i-a cerut utilizatorilor Instagram să deconecteze și să reconecteze conturile lor de Facebook.
Nu trebuie neapărat să vă schimbați parola, dar ar trebui să verificați unde v-ați conectat la Facebook.
Un jeton de acces nu este o parolă. Este un șir de caractere care vă permite să rămâneți conectat la Facebook. Jetoanele de acces sunt ca niște chei digitale, spune Facebook, care vă mențin conectat la contul dvs. Facebook chiar și atunci când nu utilizați în mod activ Facebook, deci nu trebuie să reintroduceți o parolă de fiecare dată când vizitați.
Nu puteți face mult mai mult cu privire la încălcare, deoarece Facebook a resetat deja aceste jetoane de acces.
Cu toate acestea, ar trebui să vizitați Facebook Securitate pagina de setări ( https://www.facebook.com/settings?tab=security ) și consultați secțiunea Unde sunteți conectat. Faceți clic pe pictograma din dreapta pentru a vă deconecta de la contul dvs. Facebook pe dispozitive inactive.
Pe un iPhone, puteți accesa pagina Setări de securitate atingând meniul (dreapta jos), derulând în jos la Setări și confidențialitate, selectând Setări și selectând Securitate și autentificare.
Nicole Nguyen / Știri BuzzFeed
Acestea fiind spuse, asigurați-vă că aveți o parolă puternică pentru contul dvs. Facebook și că este activată autentificarea cu doi factori (prin aplicație, nu prin mesaj text).
Iată mai multe informatii despre cum să creați o parolă puternică (tl; dr - obțineți un manager de parole și utilizați generatorul de parole al managerului) și configurați autentificarea cu doi factori bazată pe aplicație.
De asemenea, ar trebui să examinați toate aplicațiile terță parte în care utilizați Facebook pentru a vă conecta. Acestea pot fi și ele vulnerabile.
În setările Facebook, accesați Aplicații și site-uri web pentru a examina toate aplicațiile terță parte care utilizează acreditările dvs. Facebook pentru a vă conecta. Ar trebui să revocați permisiunea pentru orice aplicație pe care nu o mai folosiți.
În plus, ar trebui să accesați aceste conturi și să vedeți dacă a existat vreo activitate suspectă, a declarat Jason Polakis, profesor asistent de informatică la Universitatea din Illinois din Chicago. NBC News .
Acest lucru se datorează faptului că, potrivit Polakis, acele jetoane de acces furate ar putea fi utilizate pentru a vă conecta la conturi de pe site-uri web care acceptă autentificarea Facebook - chiar dacă nu utilizați Facebook ca autentificare.
Peste 160.000 de site-uri web , inclusiv BuzzFeed, utilizează în prezent Facebook Login, un instrument care permite oamenilor să își folosească profilul Facebook pentru a se înscrie în loc să creeze un cont nou. De asemenea, este denumit Facebook single sign-on (sau Facebook SSO în tweet-ul de mai jos).
jason polakis @jpolakisO altă problemă foarte critică, dar ignorată, este că jetoanele furate pot fi utilizate pentru a obține acces la contul unui utilizator pe alte site-uri web care acceptă Facebook SSO * chiar dacă utilizatorul nu folosește Facebook SSO * pentru a le accesa. Acest lucru depinde de implementările terților. (6 / n)
05:48 PM - 29 Sep 2018 Răspuns Retweetează Favorită
Într-o serie de tweets , Polakis a explicat că, în funcție de modul în care aceste site-uri au implementat Facebook Login, hackerii ar putea avea acces la conturile utilizatorilor de pe fiecare site web în care este implementată conectarea unică Facebook.
Într-o declarație trimisă prin e-mail, un purtător de cuvânt al Facebook a scris: Oferim cele mai bune practici pentru dezvoltatorii care utilizează Login și SDK-uri, care îi ajută să detecteze deconectările forțate, precum cele pe care le-am făcut săptămâna trecută pentru a proteja oamenii. Pregătim recomandări suplimentare pentru toți dezvoltatorii care răspund la acest incident și pentru a proteja oamenii în viitor. De asemenea, ea a furnizat un link către Facebook Securitate autentificare pagină pentru dezvoltatori. Airbnb, Tinder, Bumble, Hinge și Getaround - site-uri web care utilizează Facebook Login - nu au răspuns la solicitările de comentarii.
Un purtător de cuvânt al Pinterest a spus: Colaborăm activ cu Facebook pentru a investiga și a determina impactul. Vom ține utilizatorii la curent dacă există actualizări de care să știm.
Un purtător de cuvânt al Spotify a comentat, Spotify nu a suferit o încălcare a securității. Ca măsură de precauție, utilizatorii în cauză își pot actualiza parola Spotify sau, dacă contul a fost creat prin Facebook, datele de conectare Facebook prin instrucțiunile lor.
Iată ce a făcut ca încălcarea să înceapă cu: atacatorii au exploatat o vulnerabilitate în funcția Vizualizare ca, care vă permite să vedeți cum arată profilul dvs. pentru alte persoane pe care le-ați prietenat pe Facebook.
Vizualizare așa cum ar trebui să fie doar vizualizare. Cu alte cuvinte, nu ar trebui să puteți interacționa cu profilul dvs. în acest mod. Cu toate acestea, într-un caz specific, ați putea interacționa cu propriul profil. O versiune de View As a arătat profilul dvs. așa cum ar apărea de ziua dvs. În această versiune, veți vedea, Scrieți [numele dvs.] o dorință de ziua de naștere.
Facebook a oferit din greșeală opțiunea de a posta un videoclip pentru această versiune specială de ziua de naștere a View As. Acel încărcător de videoclipuri a generat apoi un jeton de acces în HTML-ul site-ului web pentru utilizatorul ca pe care îl vizualizați ca profil.
Această nouă funcție de încărcare a videoclipurilor a fost introdusă în iulie 2017. La mijlocul lunii septembrie, Facebook a lansat o investigație după ce a descoperit o creștere a numărului de utilizatori ai noii funcționalități, așa cum a descoperit atacul din 25 septembrie.
Acest jeton de acces este ceea ce a permis atacatorilor să preia contul dvs.
Aceste jetoane de acces pot fi, de asemenea, utilizate pentru a obține controlul complet asupra conturilor Facebook, dar Facebook spune că o investigație inițială nu a arătat că jetoanele au fost folosite pentru a accesa orice mesaje sau postări private sau pentru a posta ceva în aceste conturi până acum.
Facebook încă nu are nicio idee cine sunt atacatorii sau unde își au sediul.
Conform Facebook , investigația sa este în stadii incipiente, iar compania nu știe dacă au fost accesate conturi folosind jetoane furate.
