В пятницу тайваньский этичный хакер Чанг Чи-юань (Chang Chi-yuan) пообещал устроить трансляцию взлома страницы главы Facebook* Марка Цукерберга (Mark Zuckerberg). Позже он отказался от планов, отметив, что сообщил об уязвимости специалистам социальной сети Facebook*. Неизвестно, связаны ли события друг с другом, но почти одновременно Facebook* выступила с заявлением о том, что около 90 миллионов пользователей будут выведены из своих учётных записей для повторного входа в приложение. Такая мера, по словам компании, вызвана выявленной серьёзной уязвимостью веб-сайта, которая, возможно, позволила злоумышленникам присваивать чужие профили.
В короткой заметке Facebook* сказала, что хакеры используют уязвимость в коде сайта, которая касается функции под названием «Посмотреть как», позволяющей пользователям видеть, как их профиль отображается другим людям. «Это позволяло злоумышленникам получать доступ к токенам доступа Facebook* и использовать их, чтобы захватывать аккаунты. Токены доступа — это эквивалент цифровых ключей, которые позволяют людям входить в Facebook* без необходимости ввода пароля каждый раз, когда они используют приложение», — написала компания.
Facebook* заявила, что пока выключила небезопасную функцию «Посмотреть как» и сбросила токены доступа для 50 миллионов учётных записей, которые, по словам компании, точно были затронуты, а также токены для ещё 40 миллионов пользователей, которые, возможно, пострадали в течение последнего года. Компания отметила, что только начала расследование и ещё не знает ряд ключевых фактов об инциденте, например, были ли эти учётные записи использованы неправильно, осуществлялся ли доступ злоумышленников к частной информации и кто может нести ответственность за эти атаки.
Представитель Facebook* также подтвердил, что технически возможно использование полученных злоумышленниками токенов для доступа к сторонним службам и ресурсам, в которых для идентификации используются аккаунты крупнейшей социальной сети. Впрочем, у компании нет данных о том, что такие случаи действительно имели место. «Мы сбросили доступ сторонних приложений к данным затронутых проблемой аккаунтов Facebook*», — сказал представитель пресс-службы, говоря об упомянутых 90 миллионах учётных записей.
Facebook* говорит, что пользователям нет необходимости сбрасывать свои пароли. Так или иначе, желательно просмотреть активность входов в социальную сеть на предмет подозрительных устройств и стран — сделать это можно на особой странице (там же есть возможность форсированного выхода со всех устройств, подключённых к аккаунту).
* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».