Vdor v Facebook ogrozil 90 milijonov uporabnikov

Dare Hriberšek

28. sep 2018 ob 21:01:01

Iz podjetja so sporočili, da so napadalci izkoristili ranljivost, povezano s funkcijo "View as" oz. "Poglej kot", s katero si lahko svoj profil ogledamo tak, kot je viden drugim. Funkcija je zato trenutno začasno izklopljena.

Napadalci so namreč našli napako v kodi, ki jim je omogočila, da so se dokopali do digitalnih žetonov za dostop, s čimer bi lahko prevzeli tuje uporabniške račune. Žetoni so sicer nekakšen digitalni ključ, ki mobilnim uporabnikom omogoča vstop na platformo, ne da bi morali vsakič vpisovati geslo. Napad je sicer omogočilo kompleksno prepletanje različnih napak v Facebookovi programski kodi. Te izvirajo iz sprememb, ki so jih v podjetju julija lani napravili pri nalaganju videoposnetkov in prav to je vzrok varnostne vrzeli pri funkciji "Poglej kot". Ogroženih je bilo približno 50 milijonov uporabniških računov, naknadno pa še 40 milijonov. Vseh teh 90 milijonov uporabnikov je tako moralo opraviti ponovni vpis v omrežje.

Iz Facebooka so še sporočili, da so napako že odpravili, da pa še ne morejo z gotovostjo zatrditi ali je bil kak uporabniški račun zlorabljen in če so storilci dostopali tudi do občutljivih podatkov. Za zdaj tudi ne vedo, kdo so storilci in od kje so napad izpeljali. Vdor so sicer zaznali že v torek in o njem takoj obvestili policijo.

Morda je še pomenljivo dejstvo, da je Facebook trenutno brez chief security officerja, potem ko jih je pred mesecem dni zapustil dosedanji CSO Alex Stamos. Iz podjetja so tedaj sporočili, da na to funkcijo ne nameravajo imenovati novega človeka, saj nameravajo v kratkem prenoviti organizacijo področja varnosti.

Sicer pa je novica o današnjem vdoru obšla svet le nekaj ur potem, ko je Tajvanski white hat heker po imenu Chang Chi-yuan najavil, da bo v nedeljo opoldne po srednjeevropskem času vdrl v Facebook stran Marka Zuckerberga in jo izbrisal. Celoten postopek je nameraval prenašati tudi v živo. Ni znano, ali bo Chang Chi-yuan pri svojem spektaklu - če bo do njega sploh prišlo - uporabil porabiti prav exploit pri funkciji "Poglej kot".