9 월 25 일에 페이스 북 (NASDAQ: FB) 엔지니어가 발견 한 보안 침해로 인해 공격자는 사용자 계정을 직접 제어 할 수있었습니다. 그들 중 약 5 천만 명이 정확한 존재입니다.
최신 Facebook 보안 위반
5 천만에 더하여, Facebook은 잠재적으로 취약한 또 다른 4 천만 개의 계정이 있다고 말했다. 이 회사는 추가 피해를 막기 위해 9 천만 개의 계정을 로그 아웃했다.
$config[code] not found페이스 북은 보안 업데이트에서이 공격은 코드에서 여러 이슈들의 복잡한 상호 작용을 이용할 수 있다고 시인했다. 이것은 회사가 "View As"기능에 영향을 미치는 2017 년 7 월에 비디오 업로드 기능으로 변경 한 내용입니다.
페이스 북은 "공격자는이 취약점을 찾아 액세스 토큰을 얻기 위해 사용할 필요가있을뿐만 아니라 더 많은 토큰을 훔치기 위해 다른 계정으로 피벗해야했다."
이 공격은 페이스 북에 대한 더 나쁜시기에 올 수 없었습니다. 이 회사는 다가오는 중간 선거 전에 보안을 강화하는 동시에 약 8 천 7 백만 명의 사용자 데이터가 정치 컨설팅 기관과 공유되는 케임브리지 분석가의 실수에서 회복하려고 노력하고 있습니다.
보기 기능
다른 사람 이름으로보기 기능을 사용하면 프로필이 다른 사람에게 어떻게 보이는지 볼 수 있습니다.
공격자는 "다른 사람 이름으로보기"기능에서 세 가지 결함이나 버그를 악용 할 수있었습니다. 동일한 보안 업데이트에서 Engineering, Security and Privacy의 부사장 인 Pedro Canahuati는 다음과 같이 이러한 결함을 나열했습니다.
- 보기 틀린 비디오를 게시 할 수있는 기회를 제공.
- 2017 년 7 월에 도입 된 새로운 버전의 비디오 업 로더 (첫 번째 버그의 결과로 표시되는 인터페이스)가 Facebook 모바일 앱의 권한을 가진 액세스 토큰을 잘못 생성했습니다.
- 동영상 업 로더가 View As의 일부로 등장했을 때 뷰어가 아닌 액세스 토큰을 생성했지만 사용자는 뷰어를 찾고있었습니다.
페이스 북은 보안 검토를 진행하는 동안 View As 기능을 일시적으로 사용 중지했다.
액세스 토큰 발행을 위해 Facebook 속임수
이 취약점으로 인해 공격자는 Facebook을 속여 액세스 토큰을 발급 할 수있었습니다. 이로써 사용자 인 것처럼 사용자 계정에 액세스 할 수있게되었습니다.
또한 Airbnb, Spotify, Tinder 또는 기타 앱과 게임과 같이 Facebook을 사용하여 등록한 서비스에 액세스 할 수있었습니다.
Facebook은 영향을받은 5 천만 개의 계정과 취약한 4 천만 개의 계정에 대한 액세스 토큰을 재설정했습니다.
귀하의 계정이이 사건의 영향을받은 9 천만 명 중 하나라면 Facebook 및 연결된 계정에 다시 로그인하라는 메시지가 표시됩니다.
책임자는 누구입니까?
전화 회의에서 (PDF) Guy Rosen, Facebook 제품 관리 담당 부사장은 회사가 법 집행 기관에 통보했으며 FBI와 협력 중임을 밝혔습니다.
누가 책임자인지에 관해서, Rosen은 계속해서 "우리는 알 수 없을 것"이라고 덧붙여 공격의 배후에 누가 있는지 발견하기가 어렵다고 말했습니다.
이미지: Facebook
3 코멘트 ▼