Novi Facebookov propust ugrozio tisuće drugih aplikacija
Ova godina u povijesti Facebooka ostat će upisana kao godina afera, sigurnosnih problema, propusta i kritika. I čini se da toj problematičnoj godini nema kraja. Prošlog su tjedna otkrili kako je kompromitirano oko 50 milijuna korisničkih računa, no čini se kako je stvar puno gora i kompleksnija.
Prošlog petka otkrili su ranjivost svog sustava koja je omogućila hakerima, napadačima, da ukradu automatizirane pristupne vjerodajnice, tzv. tokene. Mnogima je takav način logiranja olakšavao pristup i popularnim aplikacijama i servisima poput Spotifya i Pinteresta. Ta mana, greška prisutna od srpnja 2017. godine unutar opcije "Vidi kao" (mogućnosti da korisnici vide kako izgleda njihov profil gledan očima drugih korisnika). Omogućila im je da ukradu tokene za pristup Facebooku koje bi kasnije mogli koristiti za preuzimanje korisničkih računa.
”Tokeni za pristup su digitalni ključevi koji se koriste da bi korisnici ostali prijavljeni na Facebook kako ne bi morali unositi zaporku svaki puta kada pokrenu aplikaciju”, objasnio je Guy Rosen, Facebookov voditelj menadžmenta.
Greška je otkrivena prošlog mjeseca nakon što su inženjeri Facebooka primijetili neobičnu aktivnost prilikom logiranja.
Iako se sigurnosni problem još istražuje, neovisni istraživači kažu kako bi se šteta mogla proširiti i izvan granica Facebooka. Ovakav napad utječe na puno više od samog Facebooka i mogao bi biti moćan alat u rukama zlih koji ga mogu iskoristiti za ulazak u niz aplikacija, stranica i sl, smatra profesor Jason Polakis sa Sveučilišta Illinois.
Token je jedinstveni niz slova i brojeva koje koristite kako bi se automatski logirali na drugim aplikacijama ili stranicama, bez potreba da unosite lozinku svaki put prilikom toga. No logiranje preko Facebooka za ulazak na neku drugu društvenu mrežu ili aplikaciju, zapravo nije pametna stvar, naglašava to Dana Simberkoff, iz sigurnosne tvrtke Avepoint.
"Koliko god se to činilo jednostavno i praktično upotreba prečaca ima i neke svoje posljedice. Ne bi trebali jednu aplikaciju koristiti kako bi se logirali u drugu, jer u slučaju kada se taj sustav kompromitira, kompromitirano može biti sve što je s njim bilo u interakciji", naglasila je.
Upravo to se i dogodilo. Zahvaljujući nizu bagova u njihovim dodacima, lozinke us postale izložene napadačima, koji su ih zatim izvukli iz HTML koda. Kada su napadači otkrili kako to učiniti na primjeru jednog računa, jednostavno su proces automatizirali i ugrozili milijune Facebook računa kao i onih povezanih s njima, piše The Guardian.
Kako bi na tu prijetnju i opasnost odgovorio Facebook je onemogućio te 'zaražene' postavke, promijenio pristupne podatke 90 milijuna korisnika, i zatim ih odlogirao. Kada su se ponovno uključili, generirali su se novi. To bi moglo spriječiti nove krađe, no ne može učiniti ništa da ublaži posljedice onoga što se već dogodilo.
"Na mnogo stranica otkrili smo kako napadači mogu resetirati email povezan s tim računom i zatim postaviti lozinku bez da znaju pravu lozinku za pristup tom računu. Čak i u slučaju ako pristupni podaci više ne funkcioniraju a napadač više nema pristup Facebook računu, mogli bi i dalje održati pristup računima povezanih trećih strana", naglašava Polakis.
Situacija postaje puno gora. Čak i u slučaju da se niste nikada prijavljivali na neku stranicu ili u aplikaciju koristeći pristupne podatke s Facebooka, napadač i dalje može iskoristiti te podatke kako bi se logirao kao vi, ako koristite istu email adresu za oba servisa.
Ako još nemate račun na ovim servisima, napadači mogu napraviti neki u vaše ime, i čekati pritajeno da se eventualno logirate kako bi vam mogli ukrasti privatne podatke.
Facebook je pak izdao priopćenje u kojem ističu kako nisu pronašli nikakvih dokaza da su napadači preko pristupnih podataka za Facebook došli do nekih drugih aplikacija i da su aplikacije koje su kreirali uz svoj službeni softver zaštićene kada korisnici resetiraju svoje pristupne podatke.
U ovakvom slučaju možda bi mogla pomoći (a možda i ne) promjena lozinke, ovisno o kojoj aplikaciji je riječ, no to je razumna stvar koja bi se trebala napraviti. A ako sumnja postoji trebali bi se potražiti tragovi bilo kakvog sumnjivog ponašanja na računu. Svaki korisnik zapravo bi trebao provoditi bolju higijenu na aplikacijama i onemogućiti takve prakse te obrisati aplikacije koje rijetko koriste. Mogla bi se primijeniti i dvostruka autentifikacija, gdje je to moguće, u kojoj se traži i druga razina provjere (poput sms-a) u slučaju da sistem detektira pokušaj logiranja iz nepoznatih uređaja.
Slične napade u budućnosti može se spriječiti i onemogućavanjem auto logina na Facebook i ostale sisteme, kao što su Google i Twitter. A najbolji savjet je taj da razmislite i da ne žrtvujete svoju sigurnost samo zato što vam se nešto ne da ili vam nije zgodno.
"Promjena načina ulaska u određene sustave i aplikacije zahtjeva da utrošite nešto vremena i može vam biti naporna. No trebali bi biti kapetan svog osobnog broda, jer budućnost vaših privatnih informacija je zapravo samo u vašim rukama", naglašava Simberkoff.