Hampir-pemasar hari ini senang membahas bahwa benar-benar pesan apa pun tentang produk, teknologi, atau peristiwa baru lebih baik dirasakan jika ada blockchain di dalamnya. Atau algoritma pembelajaran mesin. Demikian pula, pesan apa pun di bidang keamanan informasi menjadi lebih bergema jika merujuk ke jejaring sosial Facebook. Realitas informasi, yang dipanaskan oleh skandal dengan privasi data pengguna, sedemikian rupa sehingga jika Anda menempatkan kata-kata "facebook" dan "kerentanan" dalam satu aplikasi, mereka bereaksi dan menyebabkan peningkatan klik yang tidak terkendali.
Baiklah, mari kita berserah pada kemauan kimia yang tidak dapat dipahami ini dan berbicara tentang apa yang terjadi di Facebook minggu lalu. Dan pada saat yang sama, ingat apa yang terjadi di Twitter minggu lalu. Dan dalam kasus itu, dan di lain ada bug mikroskopis yang secara independen ditemukan oleh spesialis perusahaan, berhasil ditutup dengan jumlah maksimum pencegahan, publik diberitahu. Tetapi seluruh Facebook sedang mendiskusikan "masalah" Facebook, tetapi hampir tidak ada yang memperhatikan bug di Twitter. Bagaimana bisa begitu? Sekarang mari kita cari tahu.
Apa yang sebenarnya terjadi di Facebook?
Berita Laporan terperinci
dari jejaring sosial tentang acara tersebut.
Dan inilah yang terjadi. Facebook telah (lebih tepatnya, itu tidak berfungsi sekarang, lihat tangkapan layar di awal posting)
Lihat fungsi. Tersedia untuk semua pengguna, itu memungkinkan Anda untuk melihat profil Anda seolah sedang ditonton oleh orang lain. Karena banyaknya pengaturan privasi, ini adalah fitur yang agak berguna: memungkinkan Anda untuk memahami apa yang orang asing lihat di halaman Anda dan apa yang tidak.
Poin penting: halaman dapat dilihat dengan mata pengunjung acak, atau Anda dapat menunjukkan tampilannya dari sudut pandang pengguna tertentu, dengan nama depan dan belakang. Justru ketepatan inilah yang mengarahkan para pengembang ke biara.
Menurut Pedro Canauati, wakil presiden Facebook di bidang teknik, keamanan, dan privasi, ada tiga kerentanan berbeda. Pertama, ada bug di fitur View As itu sendiri. Secara teori, itu harus mengalihkan konteks Facebook ke pengguna lain dalam mode "read-only", dalam arti "hanya melihat halaman pengguna di mana Anda masuk." Bahkan, dalam mode View As, bidang untuk menerbitkan pesan juga dibuat. Kedua, bidang ini tidak berfungsi (dengan benar) dalam semua kasus, kecuali satu: ketika Anda ingin mengucapkan selamat ulang tahun kepada seseorang dan memposting video. Ketiga, saat memposting video, kode untuk mengunduh video ini menghasilkan token, yang juga dapat digunakan sebagai token akses dari aplikasi seluler.
Artinya, skenario pada bagian penyerang kira-kira sebagai berikut. Anda membuat profil atau mengubah pengaturan yang sudah ada sehingga Anda berulang tahun hari ini (uiiii!). Menggunakan fungsi View As, buka profil Anda sebagai pengguna lain. Saat menunjukkan profil atas nama pengguna lain, dia (pengguna lain ini) diundang untuk mengucapkan selamat ulang tahun dan mengunggah video lucu. Saat memuat video, token dibuat. Anda mengambil token ini dari kode halaman dan dalam aplikasi seluler, pergi atas nama dan dengan hak-hak pengguna lain.
Spekulasi lebih lanjut mulai sedikit. Misalnya, apakah Anda harus berteman dengan orang yang atas namanya Anda ingin “melihat” halaman Anda? Dilihat oleh deskripsi fitur (sekarang menganggur) di situs pihak ketiga - itu perlu. Sekarang ingat berapa lama yang lalu Anda diminta kepada teman-teman yang tidak Anda kenal, tetapi orang-orang yang gigih? Setelah mendapatkan akses ke token satu pengguna, Anda dapat mencuri kunci akses ke akun salah satu temannya. Dan seterusnya, secara teoritis sampai batas dibatasi oleh teori enam jabat tangan. Itu hampir tak terbatas dalam ruang lingkup.
Keren ya Sangat menarik bahwa pesan Facebook yang diterbitkan pada Jumat malam (di Moskow) diantisipasi oleh
keluhan pengguna bahwa mereka dikeluarkan baik dari Facebook itu sendiri maupun dari layanan lain untuk akses ke mana akun jejaring sosial digunakan. Ini adalah tindakan pencegahan yang sama yang diterapkan Facebook pada pengguna yang terpengaruh.
Atau mungkin terpengaruh? Kami harus membayar upeti kepada para ahli Facebook - mereka berbicara tentang kerentanan yang ditemukan sedetail dan secepat mungkin. Menurut mereka, pada tanggal 16 September, mereka melihat aktivitas mencurigakan, pada tanggal 25 menjadi jelas apa yang terjadi, pada tanggal 28 September informasi tersebut diumumkan kepada publik - tepat setelah "logout" para korban (yang membuat bukti yang dicuri tidak berguna). Tapi persis bagaimana korban yang sama ini menderita - di sini Facebook berbicara tidak terlalu spesifik. Mungkin mereka sendiri tidak tahu pasti.
Diketahui bahwa kerentanan muncul dalam kode layanan pada Juli 2017. Facebook secara paksa mengeluarkan 90 juta pengguna minggu lalu. Dari jumlah tersebut, 40 juta adalah orang-orang yang menerapkan fitur Lihat Sebagai, yaitu, seseorang atas nama mereka melihat halaman mereka, tidak harus dengan niat kriminal. 50 juta lainnya adalah mereka yang telah "terpengaruh" oleh kerentanan. Jadi bagaimana hal itu "mempengaruhi" sesuatu? Ada lebih banyak informasi dalam
dekripsi briefing pers: Facebook tahu sekitar 50 juta pengguna bahwa token mereka telah diekstraksi. Yaitu, (spekulasi!) Beberapa orang menggunakan fitur View As pada hari ulang tahun mereka, dan kemudian (mungkin!) Masuk ke akun lain dari IP yang sama. Dan kemungkinan besar, bahwa "aktivitas mencurigakan" 16 September, yang disebutkan oleh perwakilan dari jejaring sosial, adalah upaya eksploitasi massal otomatis terhadap bug, yang dihentikan dalam waktu sedikit lebih dari seminggu.
Secara umum, Facebook bereaksi sangat baik terhadap masalah tersebut. Dia membagikan (sebisa mungkin) informasi terperinci, mengambil tindakan sehubungan dengan para korban (nyata atau potensial). 50 (atau 90) juta orang - dalam skala Facebook, itu tidak banyak. Namun, mengingat kekhawatiran tentang privasi data pribadi yang diberikan ke jejaring sosial, perhatian yang meningkat terhadap kejadian ini juga dapat dipahami. Ada dua poin positif. Pertama, kata sandi tidak dicuri, dan jika ada alat akses ilegal ke akun orang lain tersedia, maka mereka dihancurkan oleh “pelonggaran karpet”. Kedua, bahkan jika Anda termasuk orang yang diduga terluka dan bahkan jika seseorang benar-benar mendapatkan akses ke data Anda, tidak semua yang diketahui Facebook tentang Anda ada di tangan mereka. Karena Facebook
tidak membagikan pengetahuan nyata tentang pengguna bahkan dengan pengguna itu sendiri.
Dan Twitter beruntung minggu lalu.
Apa yang terjadi di Twitter?
Berita Laporan teknis jejaring
sosial .
Di satu sisi, bug yang ditemukan di Twitter mirip dengan apa yang ditemukan di Facebook. Lubang itu ditemukan dalam API yang memungkinkan perusahaan untuk berkomunikasi dengan pelanggan - secara umum, itu adalah antarmuka untuk pengiriman massal atau menerima pesan pribadi. Jika Anda berbicara dengan seseorang yang menggunakan API ini, maka dalam keadaan tertentu, korespondensi Anda mungkin berada di tangan pihak ketiga.
Oke, bahkan dalam bentuk ini tidak terdengar menakutkan. Latihan bahkan lebih membosankan. Pertama, hanya mitra Twitter terdaftar yang dapat menggunakan API. Kedua, agar bug berfungsi dan pesan pribadi tidak
beres , kedua mitra harus (a) duduk di IP yang sama, (b) bekerja dengan API menggunakan URL yang sepenuhnya cocok
setelah slash (
www.xxx.com/twitter_msg dan
www.yyy .com / twitter_msg adalah kebetulan), (c) tidak berhasil mengakses server Twitter dalam satu periode waktu terbatas enam menit.
Saat itulah semua ini bertepatan,
kereta berubah menjadi labu. Cache Twitter yang dikonfigurasi dengan buruk mulai meludahkan pesan di mana saja, atau lebih tepatnya, dalam arah yang ditentukan secara ketat dari kebetulan unik perangkap. Secara umum, tidak mengherankan bahwa bug Facebook menyebabkan resonansi yang jauh lebih besar daripada lubang Twitter, meskipun karakteristik kedua bug sangat mirip. Baik di sana maupun di sana, tampaknya, ada kekeliruan ketika memperbarui kode dalam infrastruktur yang kompleks. Kemungkinan seseorang memotong beberapa sudut ketika melihat fitur baru dalam produksi: ini sering terjadi jika seorang manajer menerbangkan Anda dengan kata-kata "cepat-cepat ambilkan beberapa video untuk ulang tahun saya!".
Skala kerusakannya mencolok. Buat perusahaan mana pun lebih kecil, dan tidak ada yang akan melihat kerentanan untuk 5% dari penonton. Dan di sini kita segera berbicara tentang puluhan juta orang. Apa yang harus dilakukan? Blog Kaspersky Lab secara wajar merekomendasikan untuk tidak melakukan
apa pun . Dalam jangka panjang, saya merekomendasikan latihan berikut. Apa pun yang Anda kirim ke Internet, bahkan ke layanan paling privat-privat, bayangkan sejenak bahwa Anda memposting pesan yang sama di semua pos di kota Anda. Jika sebuah pesan dalam konteks seperti itu tampaknya tidak lagi berbahaya, mungkin itu tidak layak untuk dikirim.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.