Les spécialistes du marketing proche du marketing aiment aujourd'hui discuter du fait que tout message concernant un nouveau produit, une nouvelle technologie ou un nouvel événement est mieux perçu si la blockchain y est présente. Ou des algorithmes d'apprentissage automatique. De même, tout message dans le domaine de la sécurité de l'information devient plus résonnant s'il fait référence au réseau social Facebook. La réalité informationnelle, chauffée par un scandale avec la confidentialité des données des utilisateurs, est telle que si vous placez les mots «facebook» et «vulnérabilité» dans une seule application, ils réagissent et provoquent une augmentation incontrôlée des clics.
Eh bien, cédons à la volonté de cette chimie incompréhensible et parlons de ce qui s'est passé sur Facebook la semaine dernière. Et en même temps, rappelez-vous ce qui s'est passé sur Twitter la semaine dernière. Et dans ce cas, et dans un autre, il y avait des bogues microscopiques qui ont été découverts indépendamment par les spécialistes de l'entreprise, fermés avec succès avec le maximum de précautions, le public a été informé. Mais l'ensemble de Facebook discute du «problème» de Facebook, mais presque personne n'a remarqué le bug sur Twitter. Comment ça? Voyons maintenant.
Que s'est-il vraiment passé sur Facebook?
Les nouvelles . Un
rapport détaillé
du réseau social sur l'événement.
Et voici quoi. Facebook a (plus précisément, c'était le cas, cela ne fonctionne pas maintenant, voir la capture d'écran au début de la publication)
Afficher la fonction. Disponible pour tous les utilisateurs, il vous a permis de voir votre profil comme s'il était regardé par une autre personne. En raison des nombreux paramètres de confidentialité, il s'agit d'une fonctionnalité plutôt utile: elle vous permet de comprendre ce que les étrangers voient sur votre page et ce qui ne l'est pas.
Un point important: la page peut être consultée avec les yeux d'un visiteur aléatoire, ou vous pouvez montrer à quoi elle ressemble du point de vue d'un utilisateur spécifique, avec un nom et un prénom. C'est précisément cette précision qui a conduit les développeurs au monastère.
Selon Pedro Canauati, vice-président de l'ingénierie, de la sécurité et de la confidentialité de Facebook, il existe trois vulnérabilités différentes. Tout d'abord, il y avait un bogue dans la fonction Afficher en tant que telle. En théorie, il devrait basculer le contexte Facebook vers un autre utilisateur en mode "lecture seule", dans le sens de "visualiser uniquement la page de l'utilisateur sous laquelle vous êtes connecté". En fait, en mode Afficher en tant que, un champ pour publier un message a également été généré. Deuxièmement, ce champ n'a pas fonctionné (correctement) dans tous les cas, sauf un: lorsque vous souhaitez souhaiter un joyeux anniversaire à une personne et publier une vidéo. Troisièmement, lors de la publication d'une vidéo, le code de téléchargement de cette vidéo a généré un jeton, qui pourrait également être utilisé comme jeton d'accès à partir d'une application mobile.
Autrement dit, le scénario de la part de l'attaquant est approximativement le suivant. Vous créez un profil ou modifiez les paramètres d'un profil existant afin d'avoir votre anniversaire aujourd'hui (uiiii!). À l'aide de la fonction Afficher en tant que, ouvrez votre profil en tant qu'autre utilisateur. Lors de la démonstration d'un profil au nom d'un autre utilisateur, il (cet autre utilisateur) est invité à vous souhaiter un joyeux anniversaire et à télécharger une jolie vidéo. Lors du chargement d'une vidéo, un jeton est généré. Vous prenez ce jeton du code de la page et dans l'application mobile allez au nom et avec les droits d'un autre utilisateur.
D'autres spéculations commencent un peu. Par exemple, devez-vous être ami avec la personne au nom de laquelle vous souhaitez «voir» votre page? À en juger par les descriptions des fonctionnalités (désormais inactives) sur les sites tiers - c'est nécessaire. Rappelez-vous maintenant combien de temps il vous a été demandé à des amis que vous ne connaissiez pas, mais à des gens extrêmement persistants? Après avoir accédé au jeton d'un utilisateur, vous pouvez voler des clés d'accès au compte d'un de ses amis. Et ainsi de suite, théoriquement dans la mesure limitée par la théorie des six poignées de main. Cette portée est presque illimitée.
Cool, hein? Il est intéressant de noter que le message Facebook publié vendredi soir (à Moscou) a été anticipé par les
plaintes des utilisateurs
selon lesquelles ils étaient déconnectés à la fois de Facebook lui-même et d'autres services pour l'accès auxquels le compte de réseau social était utilisé. Ce sont les mêmes précautions que Facebook a appliquées aux utilisateurs concernés.
Ou vraisemblablement touché? Nous devons rendre hommage aux experts de Facebook - ils ont parlé des vulnérabilités découvertes de manière aussi détaillée et rapide que possible. Selon eux, le 16 septembre, ils ont remarqué une activité suspecte, le 25, il est devenu clair ce qui se passait, le 28 septembre les informations ont été rendues publiques - juste après la «déconnexion» des victimes (ce qui a rendu inutiles les jetons volés). Mais exactement comment ces mêmes victimes ont souffert - ici, Facebook ne s'est pas exprimé de manière très précise. Peut-être eux-mêmes ne le savent-ils pas avec certitude.
Il est connu que la vulnérabilité est apparue dans le code de service en juillet 2017. Facebook a forcé la déconnexion de 90 millions d'utilisateurs la semaine dernière. Parmi ceux-ci, 40 millions sont ceux pour lesquels la fonction Afficher en tant que a été appliquée, c'est-à-dire que quelqu'un en leur nom a consulté leur page, pas nécessairement avec des intentions criminelles. 50 autres millions sont ceux qui ont été «affectés» par la vulnérabilité. Comment cela a-t-il «affecté» quelque chose? Il y a plus d'informations dans le
décryptage de la conférence de presse: Facebook connaît environ 50 millions d'utilisateurs que leurs jetons ont été extraits. C'est (spéculation!) Certaines personnes ont utilisé la fonction Afficher sous le jour de leur anniversaire, puis (peut-être!) Se sont connectées à l'autre compte à partir de la même IP. Et très probablement, cette «activité suspecte» du 16 septembre, évoquée par des représentants du réseau social, était une tentative d'exploitation automatisée de masse du bug, qui a été stoppée en un peu plus d'une semaine.
En général, Facebook a très bien réagi au problème. Il a partagé (comme il pouvait) des informations détaillées, pris des mesures à l'égard des victimes (réelles ou potentielles). 50 (ou 90) millions de personnes - sur une échelle Facebook, ce n'est pas beaucoup. Cependant, étant donné la préoccupation concernant la confidentialité des données personnelles données aux réseaux sociaux, l'attention accrue portée à cet incident est également compréhensible. Il y a deux points positifs. Premièrement, les mots de passe n'ont pas été volés, et si des outils d'accès illégal aux comptes d'autres personnes étaient disponibles, ils ont été détruits par le «relâchement du tapis». Deuxièmement, même si vous étiez parmi les prétendument blessés et même si quelqu'un avait vraiment accès à vos données, tout ce que Facebook sait de vous n'était pas entre leurs mains. Parce que Facebook ne
partage pas de vraies connaissances sur les utilisateurs, même avec les utilisateurs eux-mêmes.
Et Twitter a eu de la chance la semaine dernière.
Que s'est-il passé sur Twitter?
Les nouvelles .
Rapport technique du réseau
social .
D'une certaine manière, le bug trouvé sur Twitter est similaire à ce qu'il a trouvé sur Facebook. Le trou a été trouvé dans une API qui permet aux entreprises de communiquer avec les clients - en général, c'est une interface pour l'envoi de masse de courrier ou la réception de messages personnels. Si vous avez parlé à quelqu'un utilisant cette API, dans certaines circonstances, votre correspondance pourrait être entre les mains d'un tiers.
D'accord, même sous cette forme, cela ne semble pas intimidant. La pratique est encore plus ennuyeuse. Premièrement, seuls les partenaires Twitter enregistrés peuvent utiliser l'API. Deuxièmement, pour que le bogue fonctionne et que les messages privés tournent
mal , les deux partenaires doivent (a) s'asseoir sur la même IP, (b) travailler avec l'API en utilisant l'URL qui correspond complètement
après la barre oblique (www.xxx.com/twitter_msg et
www.yyy .com / twitter_msg est une coïncidence), (c) il est impossible d'accéder aux serveurs Twitter dans un délai limité à six minutes.
C'est à ce moment que tout cela coïncide, le
chariot se transforme en citrouille.Un cache Twitter mal configuré commence à cracher des messages n'importe où, ou plutôt, dans une direction strictement définie de la coïncidence unique des pièges. En général, il n'est pas surprenant que le bogue Facebook ait provoqué beaucoup plus de résonance que le trou Twitter, bien que les caractéristiques des deux bogues soient assez similaires. Là et là, apparemment, il y a eu un oubli lors de la mise à jour du code dans une infrastructure complexe. Il est probable que quelqu'un ait coupé quelques coins en sciant une nouvelle fonctionnalité en production: cela arrive souvent si un manager vous survole avec les mots «obtenez-moi rapidement des vidéos pour mon anniversaire!».
L'ampleur des dégâts est frappante. Prenez une entreprise plus petite et personne ne remarquerait une vulnérabilité pour 5% de l'audience. Et ici, nous parlons immédiatement de dizaines de millions de personnes. Que faire à ce sujet? Le blog de Kaspersky Lab recommande raisonnablement de ne
rien faire. À long terme, je recommande l'exercice suivant. Quoi que vous envoyiez sur Internet, même au service le plus privé-privé, imaginez un instant que vous postez le même message sur tous les postes de votre ville. Si un message dans un tel contexte ne semble plus anodin, il ne vaut peut-être pas la peine de l'envoyer.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.