Facebook ma ostatnio bardzo nieciekawy dla siebie czas. I tak obrywa za wszystko, co możliwe, a teraz jeszcze poinformował o wielkiej luce w jego aplikacji. Ofiarami mogło paść aż 50 mln użytkowników.
Firma Facebook znana bliżej jako Stajnia Marka Zuckerberga poinformowała dzisiaj o wielkiej luce w swojej aplikacji. Powiem szczerze, że gdy o niej przeczytałem o jej specyfice, przeszły mi ciarki po plecach.
Luka dawała hackerom pełny dostęp do konkretnego konta.
Chodzi także o dostęp do danych poufnych. Co najgorsze, luka została wykryta już we wtorek — dzisiaj mamy piątek! Luka związana była z funkcją, która pozwalała podejrzeć, jak profil zalogowanej osoby widzą inni znajomi. Jest to funkcja “Zobacz jako”. Dzięki niej hakerzy mieli szansę wykraść token bezpieczeństwa chroniący konta, a następnie się na nich zalogować. To brzmi jak scena z filmu grozy — serio. Nie mogę zrozumieć, jak taki gigant, jak Facebook pozwolił sobie na takie niedociągnięcie w kodzie.
Co prawda, wykryciu błędu natychmiast go załatano i poinformowano o problemie odpowiednie służby.
Aczkolwiek, wiele użytkowników narzekało w sieci na to, że ich konta Facebook zaczęły się samoistnie wylogować z wszystkich urządzeń. Sam miałem to samo. Najgorsze jest to, że nie wiadomo, kto pokusił się o taką akcję. Oznacza to także, że winni nie ponieśli konsekwencji. Nie wiadomo też, kto stał się atakiem potencjalnych ataków. Można się tylko domyślać, że mogło być trochę kont. Mówi się nawet o 50 mln.
Wylogowanie, którego doświadczyliśmy, to po prostu zresetowanie kodu dostępu przez Facebook.
Akcja ta podjęta zostanie dla 90 milionów facebookowych profili. Czasowo wyłączono także funkcję „zobacz jako”. Uważam, że to dobry krok. Dzięki temu mamy przynajmniej pewien poziom poczucia bezpieczeństwa w tym momencie, aczkolwiek, ja od razu zmieniłem hasło na bardzo, bardzo silne. Sam nie będę w stanie go zapamiętać, a co dopiero ktoś obcy. Doczekaliśmy się też opisu, na blogu Facebooka:
“Ponieważ dopiero rozpoczęliśmy śledztwo, musimy jeszcze ustalić, czy konta te zostały wykorzystane niezgodnie z przeznaczeniem lub czy uzyskano jakieś informacje. Nie wiemy też, kto stoi za tymi atakami (…)”
Oczywiście, więcej nic nie wiemy.
Więcej informacji ma pojawić się wraz z rozwojem śledztwa — na tę chwilę wiemy tylko tyle, że błąd ten obecny był w serwisie od lipca 2017 roku. Nie wiadomo kto i w jaki sposób, z niego korzystał.