Ваш налог на Фацебооку - и веб локације које користе Фацебоок пријаву - могу бити угрожене. Ево шта знамо.

Јаап Арриенс / Гетти Имагес

АЖУРИРАЊЕ

02. октобра 2018. у 22:46

Ин пост на блогу , Гуи Росен, потпредседник Фацебоок-а за управљање производима, признао је да неке апликације трећих страна које користе Фацебоок пријаву, укључујући оне које не користе званичне Фацебоок СДК-ове или редовно проверавају да ли су токени за приступ Фацебооку важећи, могу и даље откривати кориснике.





'Правимо алат који омогућава програмерима да ручно идентификују кориснике својих апликација на које је то можда утицало, тако да их могу одјавити', написао је Росен. Није споменуо када ће алат бити доступан.

Фацебоок је недавно открио да је безбедност 50 милиона профила био компромитован када су нападачи украли токене за приступ који су им омогућили да провале на ове налоге.

Фацебоок је кршење открио у уторак, 25. септембра, и ресетовао је токене за приступ, приморавајући кориснике да се поново пријаве на своје рачуне, у четвртак, 27. септембра. Компанија је открила напад прошлог петка.

Осим Фацебоок налога, украдени приступни токени могу угрозити и налоге на било којој веб локацији треће стране која користи Фацебоок Логин.

Неки људи нису сигурни шта то значи за сигурност њихових Фацебоок налога, па ево анализе свега што знамо.

Прво, вероватно је кршење утицало на вас.

Фацебоок је ресетовао приступне токене за 50 милиона угрожених налога, а из предострожности је ресетовао још 40 милиона налога за које сматра да су можда пробијени.

Ресетовањем токена, Фацебоок је украдене токене учинио неважећим. Корисници су били приморани да поново унесу своје лозинке и поново се пријаве на своје Фацебоок налоге.

Иако корисници ВхатсАппа нису погођени (ВхатсАпп је у власништву Фацебоока), корисници Инстаграма могу бити такви, па је компанија затражила од корисника Инстаграма да прекину везу и поново повежу своје Фацебоок налоге.

Не морате нужно да мењате лозинку, али треба да проверите где сте пријављени на Фацебоок.

Токен приступа није лозинка. То је низ знакова који вам омогућава да останете пријављени на Фацебоок. Токени за приступ су попут дигиталних кључева, каже Фацебоок, који вас држе пријављеним на Фацебоок налог чак и када не користите активно Фацебоок, тако да не морате поново да уносите лозинку сваки пут када посетите.

Не можете много више учинити у вези са кршењем, јер је Фацебоок већ ресетовао ове приступне токене.

Међутим, требало би да посетите Фацебоок Сигурност страница са подешавањима ( хттпс://ввв.фацебоок.цом/сеттингс?таб=сецурити ) и прегледајте одељак Где сте пријављени. Кликните на икону са десне стране да бисте се одјавили са свог Фацебоок налога на неактивним уређајима.

На иПхоне -у можете доћи до странице са поставкама безбедности додиром на мени (доле десно), померањем надоле до Подешавања и приватност, одабиром Подешавања и одабиром Безбедност и Пријава.



Ницоле Нгуиен / БуззФеед Невс

Ипак, уверите се да имате јаку лозинку за свој Фацебоок налог и да је укључена двофакторска аутентификација (путем апликације, а не текстуалне поруке).

Ево више информација о томе како да креирате јаку лозинку (тл; др-набавите менаџера лозинки и користите генератор лозинки менаџера) и подесите двофакторну аутентификацију засновану на апликацијама.

Такође бисте требали прегледати све апликације трећих страна у којима користите Фацебоок за пријављивање. И оне могу бити рањиве.

У подешавањима Фацебоока идите на Апликације и веб локације да бисте прегледали све апликације независних произвођача које за пријављивање користе ваше Фацебоок акредитиве. Требали бисте опозвати дозволу за све апликације које више не користите.

Осим тога, требало би да одете на те налоге и видите да ли је било сумњивих активности, рекао је Јасон Полакис, доцент рачунарства на Универзитету Иллиноис у Чикагу. НБЦ Невс .

То је зато што се, према Полакису, ти украдени приступни токени могу користити за пријављивање на налоге на веб локацијама које подржавају Фацебоок аутентификацију-чак и ако Фацебоок не користите за пријављивање.

Готово 160.000 веб страница , укључујући БуззФеед, тренутно користе Фацебоок Логин, алатку која омогућава људима да користе свој Фацебоок профил за пријаву уместо отварања новог налога. Такође се назива Фацебоок јединствено пријављивање (или Фацебоок ССО у доњем твиту).

јасон полакис @јполакис

Још један веома критичан, али занемарен проблем је то што се украдени токени могу користити за приступ корисничком налогу на другим веб локацијама које подржавају Фацебоок ССО * чак и ако корисник не користи Фацебоок ССО * за приступ. То зависи од имплементације треће стране. (6/н)

17:48 - 29. септембар 2018 Одговорити Ретвеет Фаворите

У низу твеетс , Полакис је објаснио да, у зависности од тога како су ове веб локације имплементирале Фацебоок Логин, хакери би могли добити приступ корисничким налозима на свакој веб локацији на којој је имплементирано јединствено пријављивање на Фацебоок.

У изјави послатој е -поштом, портпарол Фацебоока је написао: „Пружамо најбоље праксе за програмере који користе Логин и СДК -ове, што им помаже да открију присилне одјаве попут оних које смо радили прошле недеље ради заштите људи. Припремамо додатне препоруке за све програмере који реагују на овај инцидент и да заштитимо људе у будућности. Такође је дала везу до Фацебоок -а Логин Сецурити страницу за програмере. Аирбнб, Тиндер, Бумбле, Хинге и Гетароунд - веб странице које користе Фацебоок пријаву - нису одговориле на захтеве за коментар.

Портпарол Пинтерест -а је рекао: Активно радимо са Фацебооком на истраживању и утврђивању утицаја. Кориснике ћемо обавештавати ако постоје ажурирања којих треба бити свестан.

Портпарол Спотифи је прокоментарисао, Спотифи није доживео кршење безбедности. Из предострожности, забринути корисници могу ажурирати своју Спотифи лозинку, или ако је налог креиран преко Фацебоока, Фацебоок пријава путем њихових упутстава.

Ево шта је узроковало кршење за почетак: Нападачи су искористили рањивост у функцији Виев Ас, која вам омогућава да видите како ваш профил изгледа другим људима са којима сте били пријатељи на Фацебооку.

Виев Ас би требало да буде само за преглед. Другим речима, у овом режиму не бисте требали бити у могућности да комуницирате са својим профилом. Међутим, у једном конкретном случају, могли бисте комуницирати са својим профилом. Једна верзија програма Виев Ас приказала је ваш профил онако како би изгледао на ваш рођендан. У овој верзији бисте видели, Напишите [своје име] рођенданску честитку.

Фацебоок је ненамерно пружио могућност објављивања видео записа за ову посебну рођенданску верзију Виев Ас. Тај отпремач видео записа је затим генерисао токен приступа у ХТМЛ -у веб локације за корисника под којим сте гледали свој профил.

Ова нова функција за отпремање видео записа представљена је у јулу 2017. Средином септембра Фацебоок је покренуо истрагу након што је открио пораст корисника нове функције, чиме је открио напад 25. септембра.

Овај приступни токен је омогућио нападачима да преузму ваш налог.

Ови приступни токени се такође могу користити за потпуну контролу над Фацебоок налозима, али Фацебоок каже да је то почетна истрага није приказано да су токени коришћени за приступ било којим приватним порукама или постовима или за објављивање било чега на овим налозима до сада.

Фацебоок још увек нема појма ко су нападачи, нити где се налазе.

Према Фејсбук , његова истрага је у раним фазама, а компанија не зна да ли је неким рачунима заиста приступљено помоћу украдених токена.


Стварни Савети

Рецоммендед