Sociālais tīkls "Facebook" pagājušonedēļ paziņoja par kiberuzbrukumu, kam bija pakļauti apmēram 50 miljonu lietotāju konti. "Facebook" norāda, ka uzbrukums novērsts, taču nerimstas runas, ka skandāls ir nopietnāks, nekā šķiet no pirmā acu uzmetiena.
"Facebook" savus noslēpumus labāk neglabāt! Kā hakeri piekļuva 50 miljonu lietotāju kontiem
Lai iegūtu kontroli pār cilvēku sociālā tīmekļa kontiem, uzbrucēji esot izmantojuši nepilnības funkcijā "View As" ("Skatīt kā"). Šī izvēlne ļauj cilvēkam aplūkot savu profilu tādu, kādu to no malas redz kāds cits lietotājs - draugi, draugu draugi vai svešinieki -, ļaujot pārliecināties par to, kāda informācija noteiktām lietotāju grupām ir pieejama.
Piektdien kiberuzbrukuma skartajiem cilvēkiem bija no jauna jāielogojas savā kontā. Kā novēroja TVNET, to piedzīvoja arī cilvēki Latvijā.
"Facebook" norāda, ka pavisam noteikti skarti 50 miljoni kontu, bet vēl 40 miljoni saņēma brīdinājumu par notikušo. Pagaidām nav skaidri zināms, vai un kādā mērā skartas ar "Facebook" "saslēgtās" aplikācijas, piemēram, "Spotify" vai "Tinder", uzsver raidorganizācija BBC.
Vai "feisbukā" varam justies droši?
Žurnālists Devins Koldevejs pret "Facebook" kritiski noskaņotā rakstā portālā "TechCrunch.com" norāda, ka "vainīgā" funkcija tika ieviesta jau pirms gada. Nepamanītā kļūda "būtībā ļāva hakeriem ielogoties miljoniem lietotāju vietā un darīt sazin ko - vairāk nekā gadu", raksta Koldevejs.
Hakeri piekļuva pieejas žetoniem (access tokens). Kad lietotājs ielogojas lielākajā daļā vietņu un aplikāciju, tai skaitā arī "Facebook", pārlūkprogrammā vai ierīcē tiek uzģenerēts pieejas žetons, kas ļauj nākamās reizes aplikācijai piekļūt bez ielogošanās. Žetons neietver lietotāja paroli, tāpēc hakeri, domājams, nav piekļuvuši ielogošanās informācijai.
Kad "Facebook" konstatēja uzbrukumu, tika dzēsti skarto kontu pieejas žetoni. Tāpēc cietušajiem lietotājiem nācās no jauna ielogoties "Facebook" un "Messenger" aplikācijās.
"Šis gadījums nav sliktākais scenārijs, bet tuvu tam," norāda Koldevejs. "Lietotājs nesaņemtu paziņojumu par divfaktoru autentifikāciju, jo hakeri savā labā izmantoja iepriekš veiktu ielogošanos. Instalēt kādu aplikāciju? Mainīt drošības iestatījumus? Eksportēt personīgos datus? Hakeris varētu izdarīt visas šīs lietas, un ļoti iespējams, ka tā arī notika."
Viņš uzsver, ka hakeri "koordinētā, sarežģītā procesā salika kopā vairākas nepilnības un no tām radīja ievainojamību" un ka, pēc visa spriežot, hakeri bijuši ļoti zinoši.
"Viena šāda problēma varētu atstāt neaizsargātus visus datus, ko esi ievietojis platformā, un potenciāli arī visu, ko tev rāda tavi draugi," par sliktāko scenāriju - kontroles zaudēšanu pār to, kas ir privāts un kas ne, brīdina Koldevejs.
Iespējams, hakeri piekļuvuši vēl citām aplikācijām
Videokonferencē starp "Facebook" pārstāvjiem un žurnālistiem kompānijas produktu nodaļas viceprezidents Gajs Rosens atzina, ka hakeri varētu būt piekļuvuši "Facebook" lietotāju kontiem citās aplikācijās - piemēram, "Spotify", "Tinder" vai "Airbnb" -, kurās tie ielogojušies ar "Facebook" starpniecību.
"Vājā vieta bija "Facebook" vidē, bet šie pieejas žetoni ļāva izmantot kontu tā, it kā viņi būtu konta īpašnieki. Tas nozīmē, ka potenciāli viņi varēja piekļūt trešās puses aplikācijām, kas izmantoja ielogošanos ar "Facebook"," atbildot uz izdevuma "Slate" žurnālista jautājumu, atzina Rosens.
"Bija laiks, kad "Facebook" bija ambīcijas kļūt par sava veida "universālo ielogošanās sistēmu" visdažādākajās vietnēs un aplikācijās - virtuālās pasaules autovadītāja apliecību," raksta "Slate" žurnālists Vils Oremuss. "Šī ideja netika īstenota, bet tā tika diezgan tālu. Šai vajadzētu būt galīgajai atbildei uz jautājumu, vai tā bija laba ideja."
Sarejas Universitātes kiberdrošības eksperts Alans Vudvards sarunā ar BBC sacīja, ka visdrošāk esot aplikācijās reģistrēties ar dažādām parolēm, neizmantojot iespēju ielogoties ar citas aplikācijas starpniecību.
Vai "Facebook" sodīs par GDPR pārkāpšanu?
"The Wall Street Journal" ziņo, ka "Facebook" draud līdz 1,4 miljardu eiro - 4% no globālā gada apgrozījuma - par Eiropas Vispārīgās datu aizsardzības regulas (GDPR) pārkāpšanu.
"Facebook" Eiropas atzars ir bāzēts Īrijā, tāpēc pagājušonedēļ atklāto skandālu izmeklēs Īrijas Datu aizsardzības komisija. Regulators norāda, ka ir pieprasījis no "Facebook" sīkāku informāciju par notikušo.
Noteikumi par šādu gadījumu izziņošanu dod uzņēmumiem 72 stundas laika kopš to atklāšanas brīža. "Facebook" apgalvo, ka uzņēmums par notikušo esot uzzinājis otrdien, 25.septembrī, komisiju brīdināja ceturtdien, 27.septembrī, bet publiski to izziņoja vēl pēc dienas, raksta BBC.