A los especialistas en marketing cercano al marketing de hoy les gusta discutir que absolutamente cualquier mensaje sobre un nuevo producto, tecnología o evento se percibe mejor si blockchain está presente en él. O algoritmos de aprendizaje automático. Del mismo modo, cualquier mensaje en el campo de la seguridad de la información se vuelve más resonante si se refiere a la red social Facebook. La realidad informativa, calentada por un escándalo con la privacidad de los datos del usuario, es tal que si coloca las palabras "facebook" y "vulnerabilidad" en una aplicación, reaccionan y causan un aumento incontrolado de los clics.
Bueno, rindámonos a la voluntad de esta química incomprensible y hablemos de lo que sucedió en Facebook la semana pasada. Y al mismo tiempo, recuerda lo que sucedió en Twitter la semana pasada. Y en ese caso, y en otro hubo errores microscópicos que fueron descubiertos de forma independiente por los especialistas de la compañía, cerrados con éxito con la máxima cantidad de precauciones, se notificó al público. Pero todo Facebook está discutiendo el "problema" de Facebook, pero casi nadie notó el error en Twitter. ¿Cómo es eso? Ahora vamos a resolverlo.
¿Qué pasó realmente en Facebook?
Las noticias Un
informe detallado
de la red social sobre el evento.
Y aquí está lo que. Facebook tiene (más precisamente, era, no funciona ahora, vea la captura de pantalla al comienzo de la publicación) la función
Ver como . Disponible para todos los usuarios, le permite ver su perfil como si lo estuviera viendo otra persona. Debido a las numerosas configuraciones de privacidad, esta es una característica bastante útil: le permite comprender lo que los extraños ven en su página y lo que no.
Un punto importante: la página se puede ver con los ojos de un visitante aleatorio, o puede mostrar cómo se ve desde el punto de vista de un usuario en particular, con un nombre y apellido. Fue precisamente esta precisión la que llevó a los desarrolladores al monasterio.
Según Pedro Canauati, vicepresidente de ingeniería, seguridad y privacidad de Facebook, existen tres vulnerabilidades diferentes. En primer lugar, había un error en la función Ver como. En teoría, debería cambiar el contexto de Facebook a otro usuario en el modo "solo lectura", en el sentido de "solo ver la página del usuario en la que ha iniciado sesión". De hecho, en el modo Ver como, también se generó un campo para publicar un mensaje. En segundo lugar, este campo no funcionó (correctamente) en todos los casos, excepto uno: cuando desea desearle feliz cumpleaños a una persona y publicar un video. En tercer lugar, al publicar un video, el código para descargar este video generó un token, que también podría usarse como token de acceso desde una aplicación móvil.
Es decir, el escenario por parte del atacante es aproximadamente el siguiente. Puede crear un perfil o cambiar la configuración de uno existente para que cumpla años hoy (¡uiiii!). Usando la función Ver como, abra su perfil como otro usuario. Al demostrar un perfil en nombre de otro usuario, él (este otro usuario) está invitado a desearle un feliz cumpleaños y subir un lindo video. Al cargar un video, se genera un token. Usted toma este token del código de la página y en la aplicación móvil va en nombre y con los derechos de otro usuario.
Más especulaciones comienzan un poco. Por ejemplo, ¿tiene que ser amigo de la persona en cuyo nombre desea "ver" su página? A juzgar por las descripciones de las características (ahora inactivas) en sitios de terceros, es necesario. Ahora recuerde cuánto tiempo hace que le preguntaron a amigos que no conocía, pero a personas extremadamente persistentes. Después de obtener acceso al token de un usuario, puede robar claves de acceso a la cuenta de uno de sus amigos. Y así sucesivamente, teóricamente hasta el punto limitado por la teoría de los seis apretones de manos. Eso es casi ilimitado en alcance.
Genial, ¿eh? Es interesante que el mensaje de Facebook publicado el viernes por la noche (en Moscú) fue anticipado por las
quejas de los usuarios de que habían cerrado la sesión tanto de Facebook como de otros servicios para acceder a la cuenta de la red social. Estas fueron las mismas precauciones que Facebook aplicó a los usuarios afectados.
¿O presumiblemente afectado? Debemos rendir homenaje a los expertos de Facebook: hablaron sobre las vulnerabilidades descubiertas con el mayor detalle y rapidez posible. Según ellos, el 16 de septiembre, notaron actividad sospechosa, el 25 se hizo evidente lo que estaba sucediendo, el 28 de septiembre la información se hizo pública, justo después del "cierre de sesión" de las víctimas (lo que hizo inútil cualquier ficha robada). Pero exactamente cómo sufrieron estas mismas víctimas: aquí Facebook habló no muy específicamente. Quizás ellos mismos no lo sepan con certeza.
Se sabe que la vulnerabilidad apareció en el código de servicio en julio de 2017. Facebook desconectó por la fuerza a 90 millones de usuarios la semana pasada. De estos, 40 millones son aquellos para los que se aplicó la función Ver como, es decir, alguien en su nombre miró su página, no necesariamente con intenciones criminales. Otros 50 millones son aquellos que han sido "afectados" por la vulnerabilidad. Entonces, ¿cómo "afectó" algo? Hay más información en el
descifrado de la conferencia de prensa: Facebook sabe de unos 50 millones de usuarios que sus tokens han sido extraídos. Es decir, (¡especulación!) Algunas personas usaron la función Ver como en su cumpleaños, y luego (¡tal vez!) Ingresaron a la otra cuenta desde la misma IP. Y lo más probable es que esa "actividad sospechosa" del 16 de septiembre, que fue mencionada por representantes de la red social, fue un intento de explotación automatizada masiva del error, que se detuvo en poco más de una semana.
En general, Facebook reaccionó muy bien al problema. Compartió (como pudo) información detallada, tomó medidas en relación con las víctimas (reales o potenciales). 50 (o 90) millones de personas: en una escala de Facebook, eso no es mucho. Sin embargo, dada la preocupación por la privacidad de los datos personales proporcionados a las redes sociales, la creciente atención a este incidente también es comprensible. Hay dos puntos positivos. En primer lugar, no se robaron las contraseñas, y si se disponía de herramientas de acceso ilegal a las cuentas de otras personas, se destruyeron por "aflojamiento de la alfombra". En segundo lugar, incluso si estaba entre los presuntos heridos e incluso si alguien realmente tuvo acceso a sus datos, no todo lo que Facebook sabe sobre usted estaba en sus manos. Porque Facebook
no comparte conocimiento real sobre los usuarios, incluso con los propios usuarios.
Y Twitter tuvo suerte la semana pasada.
¿Qué pasó en Twitter?
Las noticias Informe técnico de redes
sociales .
En cierto modo, el error encontrado en Twitter es similar a lo que encontró en Facebook. El agujero se encontró en una API que permite a las empresas comunicarse con los clientes; en general, es una interfaz para el envío masivo de mensajes o la recepción de mensajes personales. Si habló con alguien que usa esta API, entonces, bajo ciertas circunstancias, su correspondencia podría estar en manos de un tercero.
De acuerdo, incluso en esta forma no suena intimidante. La práctica es aún más aburrida. Primero, solo los socios registrados de Twitter pueden usar la API. En segundo lugar, para que el error funcione y los mensajes privados salgan
mal , ambos socios deben (a) sentarse en la misma IP, (b) trabajar con la API utilizando la URL que coincide completamente
después de la barra oblicua (www.xxx.com/twitter_msg y
www.yyy .com / twitter_msg es una coincidencia), (c) no se puede acceder a los servidores de Twitter en un período de tiempo limitado a seis minutos.
Es entonces cuando todo esto coincide, el
carro se convierte en una calabaza. Un caché de Twitter mal configurado comienza a escupir mensajes en cualquier lugar, o más bien, en una dirección estrictamente definida de la coincidencia única de las trampas. En general, no es sorprendente que el error de Facebook haya causado mucha más resonancia que el agujero de Twitter, aunque las características de ambos errores son bastante similares. Aparentemente, allí y allá, hubo un descuido al actualizar el código en una infraestructura compleja. Es probable que alguien corte un par de esquinas al cortar una nueva característica en producción: esto sucede a menudo si un gerente vuela sobre ti con las palabras "¡rápidamente dame algunos vidos para mi cumpleaños!".
La escala del daño es sorprendente. Tome cualquier empresa más pequeña, y nadie notaría una vulnerabilidad para el 5% de la audiencia. Y aquí estamos hablando inmediatamente de decenas de millones de personas. ¿Qué hacer al respecto? El blog de Kaspersky Lab razonablemente recomienda no hacer
nada . A la larga, recomiendo el siguiente ejercicio. Cualquier cosa que envíe a Internet, incluso al servicio más privado-privado, imagine por un momento que está publicando el mismo mensaje en todas las publicaciones de su ciudad. Si un mensaje en ese contexto ya no parece inofensivo, tal vez no valga la pena enviarlo.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.