Про взлом Facebook

История со взломом Facebook обрастает новыми деталями, от которых не становится комфортнее, а очень даже наоборот.

Сейчас речь идёт о 90 миллионах учетных записей (точно подтверждённые 50 млн и еще дополнительно 40 млн, которых это могло затронуть). Взлом заключается в том, что хакеры украли доступ к токенам доступа этих пользователей. Токен может генериться мобильным приложением, для того, чтобы когда пользователь загружает веб-страницу с каким-то модулем Facebook, пользователь оставался залогинен в свой аккаунт. В нем нет пароля, но поскольку токен позволяет пользователю оставаться залогиненным, то это означает, что хакеры могли полностью контролировать учетную запись пользователя. Потенциально, как я понимаю, это означает, что даже если у вас в учетной записи была настроена двухфакторная авторизация, то она от этого взлома не защищала.

Для взлома были использованы три уязвимости в загрузчике видео на Facebook, которые относились к функциональности «просмотреть свой аккаунт как будто ты другой человек». Эта функциональность существует для того, например, чтобы вы, создавая пост, который надо спрятать от кого-то, могли посмотреть как будто вы этот «кто-то», чтобы убедиться, что пост ему не виден. (Например, вы пишете пост о своей новой девушке, и хотите убедиться, что ваша бывшая девушка этого поста не увидит). Это не давало вам доступа к аккаунту этого «кого-то», просто позволяло просматривать ваши записи, как будто это он. Короче, комбинация этой функциональности и трёх багов в загрузчике видео приводили к тому, что загрузчик генерил токен для того пользователя, которым надо было прикинуться, таким образом давая возможность войти этим аккаунтом. УПС

Технически, говорят, у злоумышленников с токенами могла быть возможность использовать их для доступа к сторонним приложениям и сайтам, где вы использовали аккаунт Facebook для создания учетной записи. Хотя Facebook утверждает, что у них нет свидетельств того, что это произошло.

Возникает вопрос о том, что же именно хотели злоумышленники (и кто они), и на это ответов пока что нет. Теоретически, получив доступ к аккаунту, можно разослать по контактам информацию с просьбой прислать денег, или разослать вредоносные ссылки. Может быть, они хотели собрать скрытую/приватную информацию, которая есть у этих пользователей, начиная от информации в профиле и заканчивая перепиской. Геоинформация, номера телефонов, информация о всех ваших друзьях (а на уровне доступа к 50 млн аккаунтов это означает, что могли выкачать списки вообще всех миллиардов пользователей Facebook). Короче, чем больше об этом думаю, тем это все выглядит неприятней.

И традиционный вопрос – что с этим делать. Если вы не готовы полностью удалить аккаунт Facebook, то стоит сделать следующее:

1. Это не прямой, но хороший повод сменить пароль, особенно если вы его давно не меняли, он у вас не сильно сложный, или повторяется на других сайтах (кстати, на этих сайтах, если там использует со тот же логин, тоже лучше поменять)
2. Используйте это как знак для того, чтобы настроить двухфакторную аутентификацию (даже если в этом случае она не могла защитить, она поможет в другом каком-нибудь случае). И желательно, чтобы 2fa была с одноразовыми кодами из приложения, а не через SMS.
3. Изучите историю доступа к вашему аккаунту в Facebook (надо зайти на страницу Security and Login и там найти раздел локаций для логина). Я там вчера вечером обнаружил какой-то странный логин из Нью-Йорка за несколько часов до аудита, хотя я живу совсем не в НЙ, и у меня включена 2ФА
4. Изучите список подключённых к вашему аккаунту приложений и сервисов. Подумайте над тем, чтобы отключить те, которыми вы уже не пользуетесь. Если там есть что-то критичное из сервисов, то подумайте над тем, чтобы изменить в этом сервисе вход с «через фейсбук» на вход со своим логином. Вся эта история с single sign on через Facebook или Google удобная, конечно, но в случае со взломом таких сервисов может привести к нереальной катастрофе.

И, главное, никакого интернета! От него все зло!