Obaveštenje Fejsbuka o bezbednosti
Originalno objavljeno 28. septembra 2018. godine u 09:41 po Pacifičkom vremenu
Gaj Rozen, potpredsednik za menadžment proizvoda, Fejsbuk
Izvor: https://newsroom.fb.com/news/2018/09/security-update/
Tokom popodneva u utorak 25. septembra, inženjerski tim Fejsbuka je otkrio bezbednosni problem koji je pogodio skoro 50 miliona naloga. Taj problem su shvatili izuzetno ozbiljno i žele sve da obaveste šta se tačno dogodilo i koje su postupke hitno preduzeli radi zaštite bezbednosti korisnika.
Fejsbukova istraga je još u ranoj fazi. Očigledno je da su napadači iskoristili ranjivost u Fejsbukovom kodu kod “Pogledaj kao” (“View as”) opcije koja omogućava ljudima da vide kako njihov profil izgleda nekom drugom. To im je omogućilo da ukradu pristupne tokene za Fejsbuk, koje su onda mogli da iskoriste za preuzimanje naloga. Pristupni tokeni su digitalni ključevi koji drže ljude ulogovanim na Fejsbuk kako ne bi morali da unose lozinku svaki put kada koriste aplikaciju.
Evo šta je Fejsbuk preduzeo do sada. Prvo, uklonili su ranjivost i obavestili nadležne državne organe.
Drugo, resetovali su pristupne tokene na skoro 50 miliona naloga za koje znaju da su pogođeni kako bi zaštitili njihovu bezbednost. Takođe su iz predostrožnosti resetovali pristupne tokene na još 40 miliona naloga koji su bili predmet “Pogledaj kao” provere u poslednjih godinu dana. Kao rezultat toga, oko 90 miliona ljudi će morati ponovo da se uloguje na Fejsbuk ili aplikacije koje koriste Fejsbuk login. Kada se ponovo uloguju, korisnici će dobiti notifikaciju o tome šta se dogodilo na početku njihovog njuzfida.
Ažurirano 28. septembra 2018. godine u 13:08 po Pacifičkom vremenu kako bi se uključila slika notifikacije
Treće, privremeno su isključili “Pogledaj kao” opciju dok se sprovodi detaljnija bezbednosna provera.
Ovaj napad je zloupotrebio složene interakcije više problema u Fejsbukovom kodu. Potekao je iz promene koju su uveli kod opcije postavljanja videa u julu 2017, koja je uticala na “Pogledaj kao” opciju. Napadačima nije bilo potrebno samo da nađu ovu ranjivost i iskoriste je da bi dobili pristupni token, već su morali da se okrenu ka drugim nalozima kako bi ukrali više tokena.
Pošto smo je tek započeta istraga, tek treba da se utvrdi da li su ovi nalozi zloupotrebljeni i da li je pristupljeno nekim informacijama. Fejsbuk takođe ne zna ko stoji iza ovih napada i odakle je. Fejsbukov tim radi naporno kako bi bolje razumeli sve detalje i ažuriraće ovu objavu kada budu imali više informacija ili ako se činjenice promene. Dodatno, ako se otkrije još pogođenih naloga, njihovi pristupni tokeni će odmah biti resetovani.
Privatnost i bezbednost korisnika su izuzetno značajne i Fejsbuk izražava žaljenje što se ovo dogodilo. Zato su preduzeli hitne postupke da obezbede te naloge i obaveste korisnike šta se dogodilo. Nema potrebe da korisnici menjanju lozinke. Međutim, korisnici koji imaju poteškoće da se uloguju na Fejsbuk – na primer zato što su zaboravili lozinku – treba da posete Centar za pomoć. Ako neko želi da se iz predostrožnosti izloguje sa Fejsbuka, trebalo bi da poseti “Bezbednost i login” deo u podešavanjima. Tamo su navedena mesta gde su korisnici ulogovani na Fejsbuk sa opcijom da se jednim klikom odjave sa svih.
Tekst ažuriran 28. septembra 2018. godine u 16:45 po Pacifičkom vremenu
Dodatni tehnički detalji
Pedro Kanahuati, potpredsednik za inžinjering, bezbednost i privatnost, Fejsbuk
Evo još nekih tehničkih detalja o bezbednosnom problemu koji je opisan gore.
Ranije ove nedelje, Fejsbukov tim je otkrio da je spoljni akter napao njihove sisteme i iskoristio ranjivost koja je izložila pristupne tokene za Fejsbuk naloge korisnika u HTML-u kada su omogućili određenu komponentu “Pogledaj kao” opcije. Ranjivost je bila rezultat interakcija tri odvojena baga:
Prvo: “Pogledaj kao” je opcija koja omogućava ljudima da provere kako njihov profil izgleda kada ga gleda neko drugi. “Pogledaj kao” treba da bude interfejs koji pruža samo pregled profila. Međutim, za jedan tip kompozera (okvira za objavljivanje sadržaja na Fejsbuku) – specifično za verziju koja omogućava korisnicima da prijateljima požele srećan rođendan – “Pogledaj kao” opcija je pogrešno davala mogućnost objavljivanja videa.
Drugo: Nova verzija video-aploudera (interfejs koji bi se predstavio kao rezultat prvog baga) uvedena u julu 2017. godine je pogrešno generisala pristupni token koji je imao dozvole Fejsbukove mobilne aplikacije.
Treće: Kada se video-apoluder pojavio kao deo “Pogledaj kao” opcije, generisao je pristupni token ne za vas kao korisnika koji gleda profil, već za korisnika čiji ste profil gledali.
Kombinacijom ova tri baga nastala je ranjivost: kada koristite “Pogledaj kao” opciju da vidite svoj profil kao prijatelj, kod nije sakrio polje koje pruža mogučnost da vam čestitaju rođendan; video-aplouder bi generisao pristupni token kada nije smeo, i kada je pristupni token generisan bio je za vas a ne za osobu čiji se profil gleda. Taj pristupni token se nalazio u HTML kodu stranice koji su napadači uspeli da izvuku i uloguju se kao drugi korisnik.
Napadači su potom mogli da prelaze na druge naloge sa tim pristupnim tokenom, pribavljajući dodatne tokene vršenjem istih radnji.
Da bi zaštitili naloge ljudi, Fejsbuk je ispravio ranjivost. Takođe su resetovali tokene za skoro 50 miliona naloga za koje znaju da su pogođeni, a preduzeli su i dodatni korak predostrožnosti u vidu resetovanja tokena za još 40 miliona naloga koji su bili pregledani putem “Pogledaj kao” opcije u poslednjih godinu dana. Konačno, privremeno su isključili “Pogledaj kao” opciju dok se sprovodi detaljna bezbednosna provera.
Materijali za preuzimanje:
Transkript jutarnjeg razgovora sa medijima
