Az elmúlt hét folyamán egy nagyon súlyos hackertámadásra derült fény, amelynek célpontja a világ legnagyobb és legnépszerűbb közösségi hálózata, a Facebook volt. Az első információk alapján úgy tűnt, hogy a támadók nagyjából 40 millió felhasználó fiókjához szereztek hozzáférést, ugyanis ellopták a fiókokhoz tartozó hozzáférési toknet, amely digitális kulcsként segít a felhasználó-azonosítás elvégzésében. A kulcs birtokában a támadók úgy férhettek hozzá az egyes felhasználók fiókjához, mint maga a tulajdonos: teljes jogkörrel. A Facebook szakemberei éppen ezért kijelentkeztették a támadásban érintett 40 millió felhasználót, biztonsági okokból pedig további 50 millió felhasználó esetében is ugyanígy jártak el.
Akkoriban még csak a hatóságok értesítése történt meg, a vizsgálatok azonban éppen csak elindultak, így nem igazán lehetett tudni, pontosan milyen visszaéléseket követtek el a támadók. A Facebook szakemberei a támadáshoz használt biztonsági réseket hamar befoltozták, így a további veszély lényegében elhárult, legalábbis látszólag.
Azóta véget ért a vizsgálatok első köre, amely alapján úgy tűnik, az érintett felhasználói fiókokkal kapcsolatban nincs nyoma visszaéléseknek, vagyis a hackerek látszólag nem tudtak profitálni a támadásból. Igen ám, de a Facebook fiók segítségével számtalan egyéb szolgáltatást is használhatunk: Spotify, Tinder, Strava, Airbnb és még sorolhatnánk. Éppen ezért, ha a Facebook fiókunkhoz hozzáférést szereznek a hackerek, akkor sok-sok egyéb olyan szolgáltatáshoz is hozzáférhetnek, amelyek a Facebook alapú beléptetést használják. Belátható tehát, hogy egy sikeres támadással óriási károkat lehet okozni. A vizsgálatok alapján a harmadik fél által készített alkalmazások esetében sincs nyoma visszaéléseknek, ami jó hír.
A Facebook szakemberei szerint azok a szolgáltatások, amelyek a hivatalos Facebook SDK-t használják, védettek a támadással szemben, hiszen ha a Facebooknál kijelentkeztetik az adott felhasználót, akkor a többi szolgáltatás használatához is újra be kell jelentkeznie, vagyis a hackerek hoppon maradnak. Vannak viszont olyan szolgáltatók is, akik nem a szabványos SDK-t használják, vagy nem azzal ellenőrzik a felhasználói hozzáférés jogosságát, így ezekben az esetekben előfordulhatnak problémák. Annak érdekében, hogy ez elkerülhető legyen, külön eszközt készítenek a fejlesztők, amellyel manuálisan azonosíthatóak a támadás által potenciálisan érintett felhasználók, így kijelentkeztetésük is elvégezhető – ugyancsak manuálisan.
A fejlesztőknek azt ajánlják, használják a hivatalos Facebook SDK-t Android, iOS és JavaScript esetén, így ugyanis automatikusan megtörténik a hozzáférési tokenek érvényességének ellenőrzése, hiba esetén pedig az automatikus kijelentkezés is működik. A Graph API használata is ajánlott annak érdekében, hogy az információ mindig friss maradhasson, a felhasználók automatikus kijelentkeztetése így szintén automatikus lesz, ha a hibaüzenetek azt mutatják, az aktuális Facebook munkamenet érvényét vesztette.
Egyelőre tehát ennyi új információ érkezett az ügyben, de később további tájékoztatásra is lehet számítani, ahogy frissebb eredmények is születnek.
