MojAndroid

Incident, ktorý tentokrát oznámil samotný Facebook a pochválil sa vlastne, že naň prišiel, spôsoboval neoprávnený  prístupu do účtu iného užívateľa. Horšie je, že Facebook klasicky nemá potrebu detailne informovať v akom rozsahu sa reálne chyba dotkla jeho používateľov. A tak sú tu opäť určité špekulácie.

V Európe päť miliónov postihnutých účtov

Začnime najskôr číslami. Tie sú asi to jediné, čo sa dá celkom dobre uviesť k prípadu. Facebook zatiaľ viac povedať nechce. I keď jeho prísľub máme. Samotný gigant odhaduje, že chyba sa dotýka približne 50 miliónov jeho klientov a k tomu analýza Írskeho úradu na ochranu osobných údajov (Írska obdoba nášho Úradu) prináša percentá pre európskych používateľov sociálnej siete. Malo by nás byť (európskych používateľ Facebooku) približne päť miliónov, teda 10% z celkového zasiahnutého počtu.

K podstate útoku je zatiaľ informácií celkom málo, aj keď závažnosť incidentu je vysoká. Je však jasné, že útočník mohol cez „access token“ získať prístup k účtu iného používateľa. A to samozrejme bez potreby sa prihlasovať a teda poznať osobné údaje danej osoby. Bolo pritom bez významu, či mal klient zapnuté dvojfaktorové overenie, aj táto ochrana bola totiž týmto postupom zmarená. Facebook ohodnotil zásah za kritický, pretože bola obídená základná ochrana a vstup do účtu v celkom vysokom rozsahu. Na škodu týchto incidentov väčšinou býva, že sa Facebook nerád „chváli“ a teda čo presne únik spôsobil z pohľadu chránených dát klientov a aké údaje sa teda dostali do rúk mimo majiteľa účtu, nie je potvrdené.  Ani aké aktivity útočník na účtoch urobil, Facebook neuvádza. Pritom samotní útočníci mohli napríklad bez problémov vkladať príspevky v mene inej osoby.

Facebook podľa mňa ani sám nevie, aké údaje a najmä u ktorých účtov boli zneužité. Aj keď uvádza, že je postihnutých 50 miliónov zákazníkov, preventívne nechala spoločnosť zrušiť platnosť prihlasovania pre ďalších 40 miliónov účtov, teda spolu sa takto znegovali pôvodné prístupové práva pre 90 miliónov účtov. Ich používatelia majú jedinú možnosť, opätovne si vytvoriť prístupy k svojim účtom. Objavujú sa samozrejme názory, že Facebook nedokáže pri obrovskom tlaku na jeho bezpečnosť čeliť aktívnym útokom. Tento prípad je navyše špecifický aj tým, že útočník zneužil dieru, ktorú vyprodukovala samotná spoločnosť a jej programátori. Tí sú zrejme jej najväčšou slabinou, pretože ich pochybenia majú priamy dopad na klientov. Teraz sa jednalo o zneužitie prístupu, a to cez vkladanie narodeninových videí, ktoré mali v sebe kód na generovanie access tokenu.

Facebook radí urobiť vlastnú kontrolu

Ak chcete mať istotu, či sa únik netýka aj vás, spoločnosť radí, aby si každý skontrolovať svoju aktivitu za ostatný čas, aby vylúčil možné zásahy od tretej osoby a samozrejme vykonal odhlásenie zo všetkých platforiem, kde Facebook mal človek aktívny. Inak, ak by ste sa medzi vzorkou 5 miliónov európskych postihnutých účtov nachádzali, zistíte to aj podľa toho, že Vám Facebook zrušil platnosť prihlasovacích kódov. Teraz je podľa všetkého na rade Európska únia, ktorá iba vyčkáva, kedy na veľký prípad môže uplatniť GDPR a jeho systém sankcií. No a v USA už tradične nasledujú stovky žalôb. Tak uvidíme, ako nakoniec prípad dopadne, nie však kvôli pokutám, ale samotnej bezpečnosti. Ak sa vôbec toto dá reálne dosiahnuť, ako ukazuje aj tento prípad, je to pre Facebook veľká dilema.

zdroj foto: Facebook

7.10.2018

+