Hoje em dia, os profissionais de marketing de quase marketing gostam de discutir que absolutamente qualquer mensagem sobre um novo produto, tecnologia ou evento é melhor percebida se o blockchain estiver presente nele. Ou algoritmos de aprendizado de máquina. Da mesma forma, qualquer mensagem no campo da segurança da informação se torna mais ressonante se se referir à rede social Facebook. A realidade informacional, aquecida por um escândalo com a privacidade dos dados do usuário, é tal que, se você colocar as palavras "facebook" e "vulnerabilidade" em um aplicativo, elas reagem e causam um aumento descontrolado de cliques.
Bem, vamos nos render à vontade dessa química incompreensível e falar sobre o que aconteceu no Facebook na semana passada. E, ao mesmo tempo, lembre-se do que aconteceu no Twitter na semana passada. E, nesse caso, e em outro, havia erros microscópicos que foram descobertos independentemente pelos especialistas da empresa, fechados com sucesso com a quantidade máxima de precauções, o público foi notificado. Mas o Facebook inteiro está discutindo o "problema" do Facebook, mas quase ninguém percebeu o bug no Twitter. Como assim? Agora vamos descobrir.
O que realmente aconteceu no Facebook?
As notícias . Um
relatório detalhado
da rede social sobre o evento.
E aqui está o que. O Facebook tem (mais precisamente, não está funcionando agora, veja a captura de tela no início da postagem) a função
Visualizar como . Disponível para todos os usuários, permitiu que você visse seu perfil como se estivesse sendo observado por outra pessoa. Devido às inúmeras configurações de privacidade, esse é um recurso bastante útil: permite que você entenda o que os estranhos vêem na sua página e o que não.
Um ponto importante: a página pode ser visualizada com os olhos de um visitante aleatório, ou você pode mostrar como ela se parece do ponto de vista de um usuário em particular, com um nome e sobrenome. Foi precisamente essa precisão que levou os desenvolvedores ao mosteiro.
Segundo Pedro Canauati, vice-presidente de engenharia, segurança e privacidade do Facebook, existem três vulnerabilidades diferentes. Primeiramente, houve um erro no próprio recurso Exibir como. Em teoria, ele deve mudar o contexto do Facebook para outro usuário no modo "somente leitura", no sentido de "exibir apenas a página do usuário na qual você está conectado". De fato, no modo Visualizar como, também foi gerado um campo para publicar uma mensagem. Em segundo lugar, esse campo não funcionou (corretamente) em todos os casos, exceto um: quando você deseja desejar feliz aniversário a uma pessoa e postar um vídeo. Em terceiro lugar, ao postar um vídeo, o código para fazer o download desse vídeo gerava um token, que também poderia ser usado como um token de acesso em um aplicativo móvel.
Ou seja, o cenário por parte do atacante é aproximadamente o seguinte. Você cria um perfil ou altera as configurações de um existente para ter um aniversário hoje (uiiii!). Usando a função Visualizar como, abra seu perfil como outro usuário. Ao demonstrar um perfil em nome de outro usuário, ele (esse outro usuário) é convidado a desejar um feliz aniversário e fazer o upload de um vídeo atraente. Ao carregar um vídeo, um token é gerado. Você pega esse token no código da página e no aplicativo móvel, em nome e com os direitos de outro usuário.
Outras especulações começam um pouco. Por exemplo, você precisa ser amigo da pessoa em nome de quem deseja "ver" sua página? A julgar pelas descrições dos recursos (agora ociosos) em sites de terceiros - é necessário. Agora, lembre-se há quanto tempo você foi convidado a amigos desconhecidos, mas pessoas extremamente persistentes? Tendo obtido acesso ao token de um usuário, você pode roubar chaves de acesso à conta de um de seus amigos. E assim por diante, teoricamente até o limite da teoria dos seis apertos de mão. Isso é quase ilimitado em escopo.
Legal, né? É interessante que a mensagem do Facebook publicada na noite de sexta-feira (em Moscou) tenha sido antecipada pelas
reclamações dos usuários de que eles foram desconectados do próprio Facebook e de outros serviços para acesso ao qual a conta da rede social foi usada. Essas foram as mesmas precauções que o Facebook aplicou aos usuários afetados.
Ou presumivelmente afetado? Devemos prestar homenagem aos especialistas do Facebook - eles conversaram sobre as vulnerabilidades descobertas com o máximo de detalhes e rapidez possível. Segundo eles, no dia 16 de setembro, eles perceberam atividades suspeitas; no dia 25 ficou claro o que estava acontecendo, no dia 28 de setembro as informações foram divulgadas - logo após o “logout” das vítimas (o que tornava inúteis quaisquer fichas roubadas). Mas exatamente como essas mesmas vítimas sofreram - aqui o Facebook falou não de maneira muito específica. Talvez eles próprios não tenham certeza.
Sabe-se que a vulnerabilidade apareceu no código de serviço em julho de 2017. O Facebook desconectou à força 90 milhões de usuários na semana passada. Desses, 40 milhões são aqueles para os quais o recurso Visualizar como foi aplicado, ou seja, alguém em seu nome consultou sua página, não necessariamente com intenções criminais. Outros 50 milhões são aqueles que foram "afetados" pela vulnerabilidade. Então, como isso "afetou" alguma coisa? Há mais informações na
descriptografia do briefing
da imprensa: o Facebook sabe que cerca de 50 milhões de usuários foram extraídos de seus tokens. Ou seja, (especulação!) Algumas pessoas usaram o recurso Visualizar como no aniversário e depois (talvez!) Conectaram-se à outra conta a partir do mesmo IP. E provavelmente, essa "atividade suspeita" de 16 de setembro, mencionada por representantes da rede social, foi uma tentativa de exploração automatizada em massa do bug, que foi interrompida em pouco mais de uma semana.
Em geral, o Facebook reagiu muito bem ao problema. Ele compartilhou (como pôde) informações detalhadas, tomou medidas em relação às vítimas (reais ou potenciais). 50 (ou 90) milhões de pessoas - em uma escala do Facebook, isso não é muito. No entanto, dada a preocupação com a privacidade dos dados pessoais fornecidos às redes sociais, também é compreensível o aumento da atenção a esse incidente. Existem dois pontos positivos. Primeiro, as senhas não foram roubadas e, se houvesse alguma ferramenta de acesso ilegal às contas de outras pessoas, elas foram destruídas pelo "afrouxamento do tapete". Em segundo lugar, mesmo se você estivesse entre os supostamente feridos e mesmo se alguém realmente tivesse acesso aos seus dados, nem tudo o que o Facebook sabe sobre você estava nas mãos deles. Porque o Facebook
não compartilha conhecimento real sobre os usuários, mesmo com os próprios usuários.
E o Twitter teve sorte na semana passada.
O que aconteceu no Twitter?
As notícias .
Relatório técnico de rede
social .
De certa forma, o bug encontrado no Twitter é semelhante ao encontrado no Facebook. O buraco foi encontrado em uma API que permite que as empresas se comuniquem com os clientes - em geral, é uma interface para envio em massa ou recebimento de mensagens pessoais. Se você conversou com alguém que usa essa API, em determinadas circunstâncias, sua correspondência pode estar nas mãos de terceiros.
Ok, mesmo desta forma, não parece intimidador. A prática é ainda mais chata. Primeiro, apenas parceiros registrados no Twitter podem usar a API. Em segundo lugar, para que o bug funcione e as mensagens privadas dêem
errado , ambos os parceiros devem (a) permanecer no mesmo IP, (b) trabalhar com a API usando a URL que corresponde completamente
após a barra (www.xxx.com/twitter_msg e
www.yyy .com / twitter_msg é uma coincidência), (c) não é possível acessar os servidores do Twitter em um período limitado a seis minutos.
É quando tudo isso coincide, a
carruagem se transforma em abóbora.Um cache do Twitter mal configurado começa a cuspir mensagens em qualquer lugar, ou melhor, em uma direção estritamente definida da coincidência única das armadilhas. Em geral, não é de surpreender que o bug do Facebook tenha causado muito mais ressonância do que o buraco no Twitter, embora as características de ambos os bugs sejam bastante semelhantes. Aparentemente, lá e ali, houve uma supervisão ao atualizar o código em uma infraestrutura complexa. É provável que alguém corte algumas esquinas ao ver um novo recurso na produção: isso geralmente acontece se um gerente passa por cima de você com as palavras "rapidamente me dê alguns vidos no meu aniversário!".
A escala do dano é impressionante. Leve qualquer empresa menor e ninguém notaria uma vulnerabilidade para 5% da audiência. E aqui estamos imediatamente falando sobre dezenas de milhões de pessoas. O que fazer sobre isso? O blog da Kaspersky Lab recomenda razoavelmente não fazer
nada . A longo prazo, recomendo o exercício a seguir. Tudo o que você envia para a Internet, mesmo para o serviço mais privado-privado, imagine por um momento que você está postando a mesma mensagem em todas as postagens da sua cidade. Se uma mensagem nesse contexto não parecer mais inofensiva, talvez não valha a pena enviá-la.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.