今天的近市场营销人员喜欢讨论,如果其中存在区块链,则绝对可以更好地理解有关新产品,技术或事件的任何消息。 或机器学习算法。 同样,信息安全领域中的任何消息如果引用社交网络Facebook,就会变得更加共鸣。 信息现实受到丑闻和用户数据隐私的影响,如果在一个应用程序中放置“ facebook”和“ vulnerability”一词,它们就会反应并导致点击次数不受控制地增加。
好吧,让我们屈服于这种不可理解的化学反应,并谈论上周在Facebook上发生的事情。 同时,请记住上周在Twitter上发生的事情。 在这种情况下,还有另一种情况是公司专家独立发现了微小的漏洞,并以最大的预防措施成功关闭了漏洞,并通知了公众。 但是整个Facebook都在讨论Facebook的“问题”,几乎没有人注意到Twitter上的错误。 怎么会这样 现在让我们弄清楚。
Facebook上到底发生了什么?
新闻 。 有关事件
的社交网络的详细
报告 。
这是什么。 Facebook具有(更确切地说,它现在无法正常工作,请参阅帖子开头的屏幕截图)“
查看为”功能。 所有用户都可以使用它,它使您可以看到自己的个人资料,就像别人正在观看一样。 由于有许多隐私设置,因此这是一个非常有用的功能:它使您能够了解陌生人在页面上看到的内容,而看不到什么。
重要的一点是:该页面可以用随机访问者的眼睛查看,或者您可以用特定的用户的名字和姓氏来显示页面的外观。 正是这种精确度将开发人员带到了修道院。
据Facebook工程,安全和隐私副总裁Pedro Canauati称,存在三种不同的漏洞。 首先,“查看为”功能本身存在一个错误。 从理论上讲,它应该以“只读”模式将Facebook上下文切换到另一个用户,即“仅查看您登录所在的用户页面”。 实际上,在“查看为”模式下,还生成了一个用于发布消息的字段。 其次,该字段在所有情况下均无法(正确)运行,除了一种情况:您要祝某人生日快乐并发布视频。 第三,在发布视频时,用于下载该视频的代码会生成令牌,该令牌也可以用作来自移动应用程序的访问令牌。
也就是说,攻击者的情况大致如下。 您创建一个配置文件或更改现有配置文件的设置,以便今天有生日(uiiii!)。 使用“查看方式”功能,以其他用户身份打开您的个人资料。 当代表另一个用户演示个人资料时,邀请他(另一个用户)祝您生日快乐并上传可爱的视频。 加载视频时,会生成令牌。 您从页面代码中获取此令牌,然后在移动应用程序中代表另一个用户并拥有另一个用户的权限。
进一步的猜测开始了。 例如,您是否想与要“看到”您的页面的人成为朋友? 根据第三方站点上(现在处于空闲状态)功能的描述来判断-这是必要的。 现在还记得多久以前有人问过您的朋友吗? 获得了一个用户的令牌的访问权限后,您可以窃取其一个朋友的帐户的访问密钥。 依此类推,在理论上达到了六次握手理论所限制的范围。 范围几乎是无限的。
酷吧? 有趣的是,星期五晚上(在莫斯科)发布的Facebook消息因用户
抱怨而预料到,他们既从Facebook本身也从其他使用社交网络帐户访问的服务中注销。 这些与Facebook应用于受影响用户的预防措施相同。
还是大概受到影响? 我们必须向Facebook专家表示敬意-他们尽可能详细,迅速地谈论了发现的漏洞。 据他们说,在9月16日,他们注意到了可疑活动,在25日发现了正在发生的事情,在9月28日,信息被公开-在受害者“登出”之后(这使所有被盗的令牌无用)。 但是这些受害人到底是怎么受苦的-Facebook在这里说的不是很明确。 也许他们自己不确定。
已知该漏洞于2017年7月出现在服务代码中。 Facebook上周强行注销了9000万用户。 其中有4000万人是应用了“查看为”功能的用户,即有人代表他们浏览了他们的页面,而不一定带有犯罪意图。 另有5000万人是受此漏洞“影响”的人。 那么它是如何“影响”某事的呢?
在新闻发布会的
解密中,还有更多信息:Facebook知道大约有5000万用户的令牌已被提取。 也就是说,(推测!)有些人在生日那天使用了“查看为”功能,然后(也许!)从同一IP登录到另一个帐户。 最有可能的是,社交网络的代表提到9月16日的“可疑活动”是对漏洞的大规模自动化利用的尝试,该漏洞在一周多后才停止。
总体而言,Facebook对这个问题的反应很好。 他(尽可能)分享了详细信息,并针对受害者(真实或潜在的)采取了措施。 50(或90)百万人-在Facebook规模上,这并不多。 但是,考虑到对提供给社交网络的个人数据的隐私的关注,对此事件的更多关注也是可以理解的。 有两个积极点。 首先,密码没有被盗,并且如果可以使用对他人帐户的任何非法访问工具,则它们会因“地毯松动”而被破坏。 其次,即使您属于所谓的受伤者,即使有人真的可以访问您的数据,也并非Facebook知道的关于您的所有信息就在他们手中。 因为Facebook甚至不与用户本身
共享关于用户的真实知识。
Twitter上周很幸运。
Twitter发生了什么?
新闻 。
社交网络技术
报告 。
在某种程度上,在Twitter上发现的错误类似于在Facebook上发现的错误。 该漏洞是在允许公司与客户进行通信的API中找到的-通常,它是用于批量邮寄或接收个人消息的接口。 如果您与使用此API的人进行过交谈,那么在某些情况下,您的信件可能会交由第三方处理。
好吧,即使是这种形式,听起来也不令人生畏。 实践更加无聊。 首先,只有注册的Twitter合作伙伴可以使用API。 其次,
要使错误生效并
防止私人消息
出错 ,双方必须(a)使用相同的IP,(b)使用与
斜杠后完全匹配的URL(www.xxx.com/twitter_msg和
www.yyy .com / twitter_msg是一个巧合),(c)在限制为六分钟的时间内无法访问Twitter服务器。
那是所有这些巧合的时候,
支架变成南瓜了,配置不当的Twitter缓存开始在任何地方(或者严格按照陷阱唯一巧合的方向)吐出消息。 总的来说,尽管Facebook的bug的特征非常相似,但与Twitter的漏洞相比,它引起的共鸣并不奇怪。 显然,在复杂的基础结构中更新代码时,无论是在本地还是在本地都存在疏忽。 看到生产中的新功能时,很可能有人偷偷摸摸地走了:如果经理飞过您并用“为我的生日迅速给我一些视频!”字样飞过您,这通常会发生。
破坏程度惊人。 将任何一家公司规模缩小,没有人会注意到5%的受众存在漏洞。 在这里,我们立即谈论数以千万计的人。 怎么办呢? 卡巴斯基实验室博客合理地建议不要做
任何事情 。 从长远来看,我建议进行以下练习。 无论您发送到Internet的哪怕是最私人的服务,都可以想象一下,您正在城市的所有帖子上发布相同的消息。 如果在这种情况下的消息不再显得无害,则可能不值得发送。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。