A Facebook háza táján elég sok érdekes dolog történik manapság. Nemrégiben kiderült, hogy a kétfaktoros hitelesítés (2FA) során megadott mobilszámokat a hirdetők rendelkezésére bocsátja a vállalat, plusz számos egyéb olyan felhasználói adatot is megoszt harmadik felekkel, amelyeket nem kéne. Néhány órája egy ennél aggasztóbb dologra is fény derült: a vállalat szakemberei ezen a héten kedden vették észre, hogy ismeretlen hackerek mintegy 50 millió felhasználói fiókhoz férhettek hozzá, az ügyről azonban csak most tettek említést.
Egyelőre nem tudható, hogy a megszerzett hozzáféréseken keresztül végül hozzájutottak-e felhasználói adatokhoz a támadók, és ha igen, pontosan milyen adatokat loptak, valamint az sem derült ki, hogy a „feltört” felhasználói fiókokat felhasználták-e bármire. Annyi biztos, hogy bankkártya-adatokhoz nem sikerül hozzáférniük, ami mindenképpen jó hír. A vizsgálatok egyelőre zajlanak, így nem tudható, pontosan mely hackercsapat áll a támadás mögött – az sem biztos, hogy ez valaha kiderül. A Facebook szakemberei elővigyázatosságól nem csak az említett 50 millió felhasználói fiók tulajdonosait jelentkeztették ki, hanem további 40 millió felhasználót is, akik potenciálisan érintettek lehettek a támadásban. A szóban forgó 90 millió felhasználó mindegyike értesítést kap a történésekkel kapcsolatban, ahogy ismét bejelentkeznek fiókjukba.
A támadás során három biztonsági rést, illetve hibát használtak ki a támadók. Az egyik rés akkor keletkezett, amikor a Facebook szakemberei 2017 júliusában módosították a videó feltöltő szolgáltatást, így születésnapi videók feltöltésére is lehetőség nyílt. Ez a módosítás a „Megtekintés mint / View as” funkciót is érintette, ami alap esetben arra használható, hogy megnézhessük, különböző ismerőseink mennyi mindent látnak személyes felhasználói oldalunkból. A „Megtekintés mint / View as” funkció sérülékenységét egyébként csak úgy lehet kihasználni, ha további két bugot is ismer az adott támadó, ugyanis ezekre is szükség van a sikerhez.Amint a támadók mindegyik résre rábukkantak és együttesen ki is tudták használni őket, a „Megtekintés mint / View as” funkción keresztül hozzáférhettek az adott felhasználói fiók hozzáférési tokenjéhez, majd innen további fiókokra kellett ugraniuk, hogy még több tokent lophassanak.
Ezeket a tokeneket egyébként úgy kell elképzelni, mint digitális kulcsokat, amelyek bizonyos ideig szükségtelenné teszik az újbóli bejelentkezést, hiszen jelszó helyett ezekkel ellenőrzi a rendszer a hozzáférési jogosultságot. Ha viszont illetéktelenek kezébe kerülnek, az kvázi olyan, mint ha a jelszavunk megszerzésével törték volna fel fiókunkat. És most illetéteken kezekbe is kerültek...
Az ügy meglehetősen kínos a Facebook számára, és valószínűleg az sem segíti a helyzet gyors megoldását, hogy a vállalatnak jelenleg nincs biztonságért felelős vezetője, hiszen a tisztséget korábban betöltő Alex Stamos az elmúlt hónapban hagyta el a vállalatot. A Facebook vezetése a szakember távozása után úgy döntött, nem is fogják pótolni, helyette inkább átstrukturálják a biztonsági szervezetet és specialistákat vesznek fel a különböző részlegekre.
A 2018. szeptember 25-án történt hackertámadás ügyében tehát még tart a vizsgálat, amelynek keretén belül az illetékes hatóságok és a Facebook szakemberei együttesen próbálják kideríteni, pontosan mi történt.