Facebook odhalil 28. září 2018, že útočníkům se podařilo zneužít zranitelnost na webu, která jim umožnila převzít účty uživatelů Facebooku.
Tento problém, který ovlivnil asi 50 milionů účtů Facebooku a potenciálně dalších 50 milionů, použil chybu zabezpečení „Zobrazit jako“ na Facebooku, která uživatelům Facebooku umožňuje prohlížet jejich profilové stránky jako jiný uživatel.
Uživatelé Facebooku musí na své stránce profilu vybrat nabídku „tři tečky“ a vybrat možnost „Zobrazit jako“.
Společnost tuto funkci prozatím změnila. Zobrazí se upozornění, že funkce byla prozatím zakázána.
„Náhled mého profilu“ je zakázán
Funkce „Náhled mého profilu“ je dočasně deaktivována. Prosím zkuste to znovu později.
Útočníci dokázali získat přístupové tokeny, které umožňují komukoli přístup k účtu i bez zadání hesla.
Analýza Facebooku nyní probíhá. Společnost reagovala rychle a resetovala přístupové tokeny pro postižené účty (téměř 50 milionů ') a resetovala přístupové tokeny pro dalších 40 milionů účtů, které interagovaly se společností View As v minulém roce.
Vyšetřovatelé zatím neurčili, zda byly účty zneužity nebo zda byly přístupné informace. Společnost má v úmyslu aktualizovat oficiální příspěvek k aktualizaci zabezpečení na svém webu, jakmile bude mít více informací.
Co možná budete chtít udělat
Útočníci dokázali získat přístup pouze k přístupovým tokenům. To je důvod, proč Facebook nedoporučuje uživatelům měnit hesla účtu, protože útočníci nikdy nezískali hesla účtu.
Resetování přístupového tokenu blokuje přístup k účtu Facebook pro každého, kdo se k němu pokouší získat přístup pomocí starého přístupového tokenu.
Facebook zobrazí výzvu pro přihlášení pro postižené uživatele a nové přihlášení k účtu vygeneruje nový přístupový token, který se od tohoto okamžiku používá dál.
Uživatelé Facebooku, kterých se problém týká, obdrží oznámení o incidentu při příštím přihlášení.
Stále však můžete chtít udělat několik věcí:
1. Zkontrolujte poslední přihlášení
Přejděte na adresu //www.facebook.com/settings?tab=security§ion=sessions&view a zkontrolujte zařízení a umístění uvedená v části „kde jste přihlášeni“.
Ujistěte se, že tam vidíte pouze zařízení a místa, která odpovídají vaší aktivitě. Pokud máte podezření, že přihlášená relace může být od třetí strany, proveďte následující kroky:
- Klikněte na tři tečky na pravé straně dané relace.
- Z nabídky vyberte Odhlásit se.
Pokud chcete začít čistit, místo toho vyberte možnost „odhlásit se ze všech relací“, abyste zablokovali jakékoli zde uvedené zařízení kromě aktivního přístupového tokenu pro přístup na Facebook.
2. Opatření
Facebook podporuje možnosti pro lepší zabezpečení účtu.
- Získejte upozornění na nerozpoznaná přihlášení - Facebook vás upozorní, když si všimne přihlášení ze zařízení nebo prohlížečů, které jste v minulosti nepoužívali. Ujistěte se, že je zapnutá.
- Autorizovaná přihlášení - Zkontrolujte seznam zařízení, kde nebudete muset používat přihlašovací kód. Odstraňte ze seznamu zařízení nebo prohlížeče, které již nepoužíváte nebo k nim nemáte přístup.
- Dvoufázové ověření - Přidá do účtu další vrstvu ochrany. Nedávno však bylo zjištěno, že Facebook použije telefonní číslo pro reklamní účely (inzerenti nahrávají seznamy telefonních čísel a pokud je vaše telefonní číslo na tomto seznamu, budou vám zobrazovány reklamy od tohoto inzerenta).
Možná budete chtít být obzvláště opatrní, pokud jde o e-maily nebo telefonní hovory, pokud vás problém postihl. Pokud útočníci získali přístup k účtu, měli přístup k e-mailům, vašemu jménu a dalším osobním informacím, které mohou použít při útokech na phishing nebo sociální inženýrství.
