Marketingnahe Vermarkter diskutieren heute gerne, dass absolut jede Nachricht über ein neues Produkt, eine neue Technologie oder ein neues Ereignis besser wahrgenommen wird, wenn Blockchain darin enthalten ist. Oder Algorithmen für maschinelles Lernen. Ebenso wird jede Nachricht im Bereich der Informationssicherheit resonanter, wenn sie sich auf das soziale Netzwerk Facebook bezieht. Die Informationsrealität, die durch einen Skandal um die Privatsphäre von Benutzerdaten angeheizt wird, ist so, dass, wenn Sie die Wörter "Facebook" und "Sicherheitslücke" in einer Anwendung platzieren, diese reagieren und eine unkontrollierte Zunahme der Klicks verursachen.
Lassen Sie uns dem Willen dieser unverständlichen Chemie nachgeben und darüber sprechen, was letzte Woche auf Facebook passiert ist. Und denken Sie gleichzeitig daran, was letzte Woche auf Twitter passiert ist. In diesem Fall und in einem anderen Fall gab es mikroskopische Fehler, die von den Spezialisten des Unternehmens unabhängig entdeckt und mit maximaler Vorsichtsmaßnahme erfolgreich geschlossen wurden. Die Öffentlichkeit wurde benachrichtigt. Aber das ganze Facebook diskutiert das "Problem" von Facebook, aber fast niemand hat den Fehler auf Twitter bemerkt. Wie so? Jetzt lass es uns herausfinden.
Was ist wirklich auf Facebook passiert?
Die Nachrichten . Ein detaillierter
Bericht des sozialen Netzwerks über die Veranstaltung.
Und hier ist was. Facebook hat (genauer gesagt, es funktioniert jetzt nicht, siehe Screenshot am Anfang des Beitrags) die Funktion "
Anzeigen als" . Es stand allen Benutzern zur Verfügung und ermöglichte es Ihnen, Ihr Profil so zu sehen, als würde es von einer anderen Person angesehen. Aufgrund der zahlreichen Datenschutzeinstellungen ist dies eine ziemlich nützliche Funktion: Sie können verstehen, was Fremde auf Ihrer Seite sehen und was nicht.
Ein wichtiger Punkt: Die Seite kann mit den Augen eines zufälligen Besuchers betrachtet werden, oder Sie können zeigen, wie sie aus der Sicht eines bestimmten Benutzers mit Vor- und Nachnamen aussieht. Genau diese Präzision führte die Entwickler zum Kloster.
Laut Pedro Canauati, dem Vizepräsidenten für Technik, Sicherheit und Datenschutz bei Facebook, gibt es drei verschiedene Sicherheitslücken. Erstens gab es einen Fehler in der Funktion "Anzeigen als". Theoretisch sollte der Facebook-Kontext im schreibgeschützten Modus auf einen anderen Benutzer umgeschaltet werden, im Sinne von "Nur die Seite des Benutzers anzeigen, unter der Sie angemeldet sind". Tatsächlich wurde im Modus "Anzeigen als" auch ein Feld zum Veröffentlichen einer Nachricht generiert. Zweitens funktionierte dieses Feld nicht in allen Fällen (korrekt), außer in einem Fall: Wenn Sie einer Person alles Gute zum Geburtstag wünschen und ein Video veröffentlichen möchten. Drittens hat der Code zum Herunterladen dieses Videos beim Posten eines Videos ein Token generiert, das auch als Zugriffstoken von einer mobilen Anwendung verwendet werden kann.
Das heißt, das Szenario des Angreifers ist ungefähr das folgende. Sie erstellen ein Profil oder ändern die Einstellungen eines vorhandenen, damit Sie heute Geburtstag haben (uiiii!). Öffnen Sie mit der Funktion Anzeigen als Ihr Profil als anderer Benutzer. Wenn er ein Profil für einen anderen Benutzer vorführt, wird er (dieser andere Benutzer) eingeladen, Ihnen alles Gute zum Geburtstag zu wünschen und ein süßes Video hochzuladen. Beim Laden eines Videos wird ein Token generiert. Sie nehmen dieses Token aus dem Seitencode und gehen in der mobilen Anwendung im Namen und mit den Rechten eines anderen Benutzers.
Weitere Spekulationen beginnen ein wenig. Müssen Sie beispielsweise mit der Person befreundet sein, in deren Namen Sie Ihre Seite „sehen“ möchten? Gemessen an den Beschreibungen der (jetzt inaktiven) Funktionen auf Websites von Drittanbietern ist dies erforderlich. Erinnern Sie sich jetzt, wie lange es her ist, dass Sie zu Freunden gefragt wurden, die Ihnen nicht bekannt sind, aber zu extrem hartnäckigen Menschen? Nachdem Sie Zugriff auf das Token eines Benutzers erhalten haben, können Sie Zugriffsschlüssel für das Konto eines seiner Freunde stehlen. Und so weiter, theoretisch bis zu dem Ausmaß, das durch die Theorie von sechs Handshakes begrenzt ist. Der Umfang ist nahezu unbegrenzt.
Cool, oder? Es ist interessant, dass die am Freitagabend (in Moskau) veröffentlichte Facebook-Nachricht von
Beschwerden der Benutzer vorweggenommen wurde
, dass sie sowohl von Facebook selbst als auch von anderen Diensten für den Zugriff, auf den das Konto des sozialen Netzwerks verwendet wurde, abgemeldet wurden. Dies waren die gleichen Vorsichtsmaßnahmen, die Facebook für betroffene Benutzer angewendet hat.
Oder vermutlich betroffen? Wir müssen den Facebook-Experten Tribut zollen - sie haben so detailliert und schnell wie möglich über die entdeckten Schwachstellen gesprochen. Ihnen zufolge bemerkten sie am 16. September verdächtige Aktivitäten, am 25. wurde klar, was geschah, am 28. September wurden die Informationen veröffentlicht - unmittelbar nach dem „Abmelden“ der Opfer (was gestohlene Token unbrauchbar machte). Aber genau wie diese Opfer gelitten haben - hier hat sich Facebook nicht ganz konkret ausgesprochen. Vielleicht wissen sie es selbst nicht genau.
Es ist bekannt, dass die Sicherheitsanfälligkeit im Juli 2017 im Service-Code aufgetreten ist. Facebook hat letzte Woche 90 Millionen Nutzer gewaltsam abgemeldet. Von diesen sind 40 Millionen diejenigen, für die die Funktion "Anzeigen als" angewendet wurde, dh jemand in ihrem Namen hat ihre Seite angesehen, nicht unbedingt mit kriminellen Absichten. Weitere 50 Millionen sind diejenigen, die von der Sicherheitsanfälligkeit „betroffen“ sind. Wie hat sich das auf etwas ausgewirkt? Die
Entschlüsselung der Pressekonferenz enthält weitere Informationen: Facebook weiß über 50 Millionen Nutzer, dass ihre Token extrahiert wurden. Das heißt, (Spekulation!) Einige Leute haben an ihrem Geburtstag die Funktion "Anzeigen als" verwendet und sich dann (möglicherweise!) Von derselben IP-Adresse aus bei dem anderen Konto angemeldet. Und höchstwahrscheinlich war diese „verdächtige Aktivität“ vom 16. September, die von Vertretern des sozialen Netzwerks erwähnt wurde, ein Versuch einer massenautomatisierten Ausnutzung des Fehlers, der in etwas mehr als einer Woche gestoppt wurde.
Im Allgemeinen hat Facebook sehr gut auf das Problem reagiert. Er teilte (so gut er konnte) detaillierte Informationen mit und ergriff Maßnahmen in Bezug auf die Opfer (real oder potenziell). 50 (oder 90) Millionen Menschen - auf Facebook-Skala ist das nicht viel. Angesichts der Besorgnis über den Schutz personenbezogener Daten in sozialen Netzwerken ist jedoch auch die zunehmende Aufmerksamkeit für diesen Vorfall verständlich. Es gibt zwei positive Punkte. Erstens wurden Passwörter nicht gestohlen, und wenn illegale Zugriffstools auf die Konten anderer Personen verfügbar waren, wurden sie durch „Teppichprotokollierung“ zerstört. Zweitens, selbst wenn Sie zu den angeblich Verletzten gehörten und selbst wenn jemand wirklich Zugriff auf Ihre Daten hatte, war nicht alles, was Facebook über Sie weiß, in ihren Händen. Weil Facebook selbst mit den Nutzern selbst
kein wirkliches Wissen über Benutzer
teilt .
Und Twitter hatte letzte Woche Glück.
Was ist auf Twitter passiert?
Die Nachrichten . Technischer
Bericht des sozialen Netzwerks.
In gewisser Weise ähnelt der auf Twitter gefundene Fehler dem auf Facebook. Die Lücke wurde in einer API gefunden, die es Unternehmen ermöglicht, mit Kunden zu kommunizieren - im Allgemeinen handelt es sich um eine Schnittstelle zum Massenversand oder zum Empfangen persönlicher Nachrichten. Wenn Sie mit jemandem gesprochen haben, der diese API verwendet, kann Ihre Korrespondenz unter bestimmten Umständen in den Händen eines Dritten liegen.
Okay, auch in dieser Form klingt es nicht einschüchternd. Übung ist noch langweiliger. Erstens können nur registrierte Twitter-Partner die API verwenden. Zweitens müssen beide Partner (a) auf derselben IP sitzen, (b) mit der API unter Verwendung der URL arbeiten, die
nach dem Schrägstrich vollständig übereinstimmt (www.xxx.com/twitter_msg und
www.yyy) , damit der Fehler funktioniert und private Nachrichten
schief gehen
.com / twitter_msg ist ein Zufall), (c) es ist nicht erfolgreich, in einem auf sechs Minuten begrenzten Zeitraum auf Twitter-Server zuzugreifen.
Wenn all dies zusammenfällt,
verwandelt sich der
Wagen in einen Kürbis. Ein schlecht konfigurierter Twitter-Cache beginnt überall Nachrichten zu spucken, oder vielmehr in eine genau definierte Richtung des einzigartigen Zusammentreffens von Fallstricken. Im Allgemeinen ist es nicht überraschend, dass der Facebook-Fehler viel mehr Resonanz verursachte als das Twitter-Loch, obwohl die Eigenschaften beider Fehler ziemlich ähnlich sind. Sowohl dort als auch dort gab es anscheinend ein Versehen bei der Aktualisierung des Codes in einer komplexen Infrastruktur. Es ist wahrscheinlich, dass jemand beim Sägen eines neuen Features in der Produktion ein paar Abstriche gemacht hat: Dies passiert häufig, wenn ein Manager mit den Worten „Hol mir schnell ein paar Videos zum Geburtstag!“ Über dich fliegt.
Das Ausmaß des Schadens ist auffällig. Nehmen Sie ein kleineres Unternehmen, und niemand würde eine Sicherheitslücke für 5% des Publikums bemerken. Und hier sprechen wir sofort über zig Millionen Menschen. Was tun? Der Kaspersky Lab-Blog empfiehlt vernünftigerweise, nichts zu tun. Auf lange Sicht empfehle ich die folgende Übung. Was auch immer Sie an das Internet senden, selbst an den privat-privatesten Dienst, stellen Sie sich für einen Moment vor, dass Sie auf allen Posts Ihrer Stadt dieselbe Nachricht veröffentlichen. Wenn eine Nachricht in einem solchen Kontext nicht mehr harmlos erscheint, lohnt es sich möglicherweise nicht, sie zu senden.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.