01/10/2018

Co musisz wiedzieć na temat wrześniowego wycieku na Facebooku

Zagrożenia

Co musisz wiedzieć na temat ostatniego wycieku na Facebooku:

  • Nic.

Czego nie musisz robić w związku z ostatnim wyciekiem na Facebooku:

  • Nie spiesz się ze zmianą swojego hasła. Incydent nie objął haseł, więc nadal zapewniają taki sam poziom bezpieczeństwa.
  • Nie panikuj. Niektórzy użytkownicy mogą odkryć, że z jakiegoś powodu nie są już zalogowani do Facebooka. Jeśli tak jest i w Twoim przypadku, według serwisu nie ma powodów do obaw — Twój token autoryzacyjny został już zresetowany i nikt inny nie uzyska dostępu do Twojego konta. Musisz tylko zalogować się ponownie, wprowadzając swoje hasło i kod autoryzacji dwuetapowej (jeśli masz włączoną tę opcję) — nic więcej.
  • Nie usuwaj swojego konta na Facebooku. Na ten krok możesz się zdecydować w każdej chwili, jednak ostatni incydent nie zmusza do podjęcia tak drastycznych działań.

Co tak naprawdę się stało?

28 września serwis Facebook opublikował informację, w której poinformował, że wykryto problem z bezpieczeństwem dotyczący blisko 50 milionów kont. Ktoś przeprowadził dosyć wyrafinowany atak, w którego wyniku ukradł tokeny dostępowe należące do 50 milionów użytkowników.

Token dostępowy to klucz do Twojego konta. Jeśli jakaś osoba go uzyska, Facebook traktuje ją jako legalnego użytkownika i umożliwia jej uzyskanie dostępu do tego konta bez podania loginu, hasła i kodu potwierdzającego. Zatem po kradzieży tokenów dostępowych 50 000 000 użytkowników atakujący mogą potencjalnie uzyskać dostęp do ich kont. Jednak nie oznacza to, że mają oni dostęp do haseł ani że ktoś złamał mechanizm autoryzacji dwuetapowej. Twoje hasło jest bezpieczne, a uwierzytelnianie działa tak, jak powinno. Z drugiej strony musimy wspomnieć, że taka kradzież tokena w pewien sposób może pozwolić ominąć te zabezpieczenia.

Facebook przyznaje, że incydent jest w bardzo wczesnym etapie analizy. Na chwilę obecną podejrzewa się, że ktoś znalazł lukę w funkcji „Wyświetl jako” i ją wykorzystał, uzyskując dostęp do tokenów. Z tego powodu wspomniana funkcja została wyłączona, tokeny autoryzacyjne do tych kont zostały zresetowane, a także rozpoczął się proces resetowania tokenów dla kolejnych 40 milionów użytkowników, którzy korzystali z tej funkcji w zeszłym roku. Chociaż ten ostatni zabieg ma charakter prewencyjny, na tę chwilę warto dmuchać na zimne.

Po zresetowaniu tokena jego posiadacz nie ma już dostępu do swojego konta, dopóki się nie zaloguje ponownie. osoby atakujące nie mają dostępu do twojego loginu i hasła, więc nawet jeśli przypadkowo sytuacja Cię dotknęła, nie mogą już dłużej podszywać się pod Ciebie i mieć dostęp do konta.

Facebook obiecuje zaktualizować post, gdy będzie wiadomo, co dokładnie się wydarzyło oraz czy jakiekolwiek dotknięte konta zostały w jakiś sposób użyte, ale teraz sugerujemy to, co opisaliśmy na początku tego posta: nic nie rób. W tej chwili nie możesz nic zdziałać, więc nie panikuj. Gdy sytuacja nieco bardziej się rozjaśni, a użytkownicy będą mogli podjąć jakieś przydatne działania, z pewnością o tym napiszemy.