Falha no Facebook expõe acesso de 50 Milhões de usuários

Outras 40 milhões de contas são suspeitas de também terem sido comprometidas

03/10/2018 mindsecblog LGPD & PRIVACY, Notícias 3

Falha no Facebook expõe acesso de 50 Milhões de usuários. O Facebook anunciou uma enorme questão de segurança que afeta pelo menos 50 milhões de seus 2,23 bilhões de usuários ativos na terça-feira da semana passada, dia 25 de Setembro. Embora a empresa ainda esteja investigando o problema, o Facebook afirma que  já tomou medidas para interromper a exploração e proteger os usuários e que dia 27 de setembro o problema já havia sido corrigido.

O que sabemos até agora !

No dia 25 de setembro o Facebook disse que sua equipe de engenharia descobriu uma ameaça à segurança de hackers que poderia permitir que “roubar Facebook tokens de acesso que poderiam então usar para assumir as contas das pessoas”.  O token de acesso é o que o seu navegador usa para manter você conectado à sua conta do Facebook depois de fazer login.

Não está claro exatamente quando as contas foram violados, mas Facebook descobriu que a questão decorre de uma mudança Facebook feitas para recurso de vídeo upload STI em julho de 2017, por isso é possível a vulnerabilidade passou despercebida por um longo tempo.

Este ataque explorou a complexa interação de vários problemas no código do Facebook, disse a empresa. Os atacantes exploraram uma vulnerabilidade no código do Facebook relacionada com a funcionalidade “View As” (Visualizar como), projetado para permitir aos usuários vêem como o seu perfil aparece nas telas das outras pessoas. Se você usou o recurso, os hackers conseguiram roubar seu acesso e possivelmente assumir sua conta.

fonte: Facebook 

Facebook tem tomado ações para redefinir o token de acesso para os 50 milhões de usuários que foram afetados, bem como outras 40 milhões de contas “que foram teriam usado a função ‘View As’ no ano passado.” Então, se você teve que fazer login manualmente na sua conta do Facebook após a sexta-feira, 28 de setembro, é provável que sua conta tenha sido comprometida.

Se os atacantes forem capazes de recuperar um token de acesso para a sua conta, eles poderiam, teoricamente, logar com a sua conta em sua máquina qualquer e ter acesso completo ao seu perfil. Além disso, o vice-presidente de produtos do Facebook, Guy Rosen, disse que os hackers também teriam acesso a qualquer aplicativo que estivesse vinculado à sua conta.

Embora não tenha indicação de que os invasores conseguiram roubar senhas diretamente, é fortemente recomendável a alteração da senha por todos os usuários para garantir que eles não tenham acesso à sua conta.

Comunicado do Facebook:

O Comunicado do Fabebook diz que

Na tarde de terça-feira, 25 de setembro, nossa equipe de engenharia descobriu um problema de segurança que afetava quase 50 milhões de contas. Estamos levando isso muito a sério e queríamos que todos saibam o que aconteceu e as ações imediatas que tomamos para proteger a segurança das pessoas.

Nossa investigação ainda está em seus estágios iniciais. Mas é claro que os invasores exploraram uma vulnerabilidade no código do Facebook que afetou o recurso “View As” que permite que as pessoas vejam como seu perfil se parece para outras pessoa. Isso permitiu que roubassem tokens de acesso ao Facebook, que eles poderiam usar para assumir as contas das pessoas.

Os tokens de acesso são o equivalente a chaves digitais que mantêm as pessoas conectadas ao Facebook, para que não precisem digitar sua senha sempre que usarem o aplicativo.

Aqui está a ação que já fizemos:

Primeiro, consertamos a vulnerabilidade e informamos as autoridades conforme a lei.

Em segundo lugar, redefinimos os tokens de acesso das quase 50 milhões de contas que sabemos que foram afetadas para proteger sua segurança.

Também estamos tomando a precaução de redefinir tokens de acesso para outras 40 milhões de contas que foram submetidas a uma consulta “View As” no ano passado. Como resultado, cerca de 90 milhões de pessoas terão que fazer o login novamente no Facebook ou em qualquer um dos aplicativos que usam o Login do Facebook.

Depois que fizerem login novamente, as pessoas receberão uma notificação na parte superior do feed de notícias explicando o que aconteceu.

Em terceiro lugar, desativamos temporariamente o recurso “Visualizar como” enquanto realizamos uma análise de segurança completa.

O Facebook afirma ainda que a vulnerabilidade foi o resultado da interação de três bugs distintos:

  1. View As é um recurso de privacidade que permite que as pessoas vejam como seu perfil se parece com outra pessoa. View As  deve ser uma interface apenas de visualização. No entanto, para um tipo de compositor (a caixa que permite postar conteúdo no Facebook) – especificamente a versão que permite que as pessoas desejem felicitações aos seus amigos – o View As forneceu incorretamente a oportunidade de postar um vídeo.
  2. Uma nova versão do carregador de vídeos (a interface que seria apresentada como resultado do primeiro bug), lançada em julho de 2017, gerou incorretamente um token de acesso que tinha as permissões do aplicativo móvel do Facebook.
  3. Quando o carregador de vídeo apareceu como parte do View As, ele gerou o token de acesso não como visualizador, mas como o usuário que estava sendo pesquisado.

Foi a combinação desses três bugs que se tornou uma vulnerabilidade: ao usar o recurso View As para visualizar seu perfil como amigo, o código não removeu o compositor que permite que as pessoas lhe desejem feliz aniversário; o carregador de vídeos estava gerando um token de acesso quando não deveria; e quando o token de acesso foi gerado, não era para você, mas para a pessoa que estava sendo consultada. Esse token de acesso estava disponível no HTML da página, que os invasores conseguiram extrair e explorar para fazer login como outro usuário. Os invasores puderam então migrar desse token de acesso para outras contas, executando as mesmas ações e obtendo mais tokens de acesso.

fonte: Facebook Security Update

GDPR

Especialistas em segurança continuam avaliando o escopo e o impacto a violação de dados no Facebook que afetou quase 50 milhões de contas, onde a empresa estaria sujeito a uma penalidade financeira de até US $ 1,63 bilhão por violar os regulamentos GDPR da Europa.

Segundo a SC Magazine o Wall Street Journal chegou a esse número calculando quatro por cento da receita anual global do Facebook em relação ao ano anterior – que é a multa máxima que os reguladores europeus podem dar para infrações do GDPR.

O Wall Street Journal também informou que a Comissão de Proteção de Dados da Irlanda, agindo em nome da União Européia, disse no sábado, dia 29 de setembro,  que está exigindo mais informações do Facebook sobre a violação, incluindo quais moradores da UE poderiam ter sido afetados. Se os reguladores acharem que o Facebook agiu de forma insuficiente para garantir os dados violados, as ações punitivas poderiam eventualmente serem aplicadas.

De um ponto de vista legal, este incidente pode se tornar um marco notório na aplicação do GDPR pelos reguladores da UE. Uma multa de milhões de multas não é impossível sob a integridade das circunstâncias ”, disse Ilia Kolochenko, CEO e fundadora da High-Tech Bridge, por e-mail à SC Magazine.  “Quanto aos EUA, uma ação coletiva e processos judiciais individuais podem causar muitos problemas para o Facebook, potencialmente com penalidades ou acordos ainda maiores, exacerbados por custos legais e uma imagem pública comprometida”.

 

Fonte: PCWorld & Facebook Security Update & SC Magazine

 

Veja também:

Sobre mindsecblog 2473 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

3 Trackbacks / Pingbacks

  1. CISCO divulga patches para 39 vulnerabilidades - 3 Críticas e 10 Altas
  2. Afiliado Expert - 7 Tendências de Marketing Digital Serem Observadas em 2019
  3. O que os maiores vazamento de dados de 2021 nos diz sobre Privacidade

Deixe sua opinião!