Сегодня утром Facebook объявил, что во вторник его инженерная команда обнаружила, что хакеры использовали уязвимость в его коде, позволившую им украсть токены доступа Facebook почти для 50 миллионов аккаунтов.
По данным Facebook, хакеры воспользовались уязвимостями безопасности в его коде функции «Посмотреть от имени», которая позволяет пользователям видеть, как их профиль выглядит для других. Украденные токены доступа Facebook — это цифровые ключи, позволяющие людям оставаться залогиненными в Facebook.
Эта атака использовала сложное взаимодействие нескольких проблем в нашем коде. Она вытекала из изменения, которое мы внесли в нашу функцию загрузки видео в июле 2017 года и которое затронуло функцию «Посмотреть от имени». Злоумышленникам потребовалось не только найти эту уязвимость и использовать ее для получения токена доступа, но и затем перейти от одного аккаунта к другим, чтобы украсть больше токенов.
На данный момент неясно, были ли затронутые аккаунты использованы злоумышленниками или был ли получен доступ к их информации, и Facebook не знает, кто осуществил атаки.
Facebook заявляет, что уязвимость была исправлена, и власти были уведомлены. Facebook сбросил токены доступа для почти 50 миллионов затронутых аккаунтов, а также для еще 40 миллионов аккаунтов, которые подвергались проверке функции «Посмотреть от имени» в прошлом году.
Клиенты, которые были отключены от своих приложений, получат сообщение о произошедшем после повторного входа в систему.
Пока проводится проверка безопасности, Facebook отключает функцию «Посмотреть от имени», которая была использована для взлома.
Facebook заявляет, что «сожалеет о случившемся» и что конфиденциальность и безопасность людей «невероятно важны». По данным Facebook, никому не нужно менять пароли, но те, кто обеспокоен, могут посетить раздел «Безопасность и вход» в настройках, чтобы одновременно выйти из всех устройств.
Сегодняшний взлом Facebook произошел всего через день после того, как было обнаружено, что Facebook использовал номера телефонов, предоставленные клиентами для двухфакторной аутентификации, в целях таргетирования рекламы и создания теневых контактов.
