Facebook раскрыл сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.

Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок, по отдельности не представляющих большой опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции «View As», позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.

Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.

Третья ошибка проявляется когда загрузчик видео показывается на страницах в режиме «View As». Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме «View As» загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен создаётся не для пользователя, просматривающего свою страницу в режиме «View As», а для другого пользователя, для которого оценивается как будет выглядеть страница.

Таким образом атакующий может получить токены доступа к учётной записи сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима «View As». Атака была выявлена после анализа всплеска аномальной активности. В настоящее время Facebook временно отключил режим «View As» и заблокировал все токены, который были получены в данном режиме для просмотрщика видео (подверженным атаке пользователям потребуется перезайти в свой аккаунт).

Facebook раскрыл сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.

Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок, по отдельности не представляющих большой опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции «View As», позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.

Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.

Третья ошибка проявляется когда загрузчик видео показывается на страницах в режиме «View As». Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме «View As» загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен создаётся не для пользователя, просматривающего свою страницу в режиме «View As», а для другого пользователя, для которого оценивается как будет выглядеть страница.

Таким образом атакующий может получить токены доступа к учётной записи сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима «View As». Атака была выявлена после анализа всплеска аномальной активности. В настоящее время Facebook временно отключил режим «View As» и заблокировал все токены, который были получены в данном режиме для просмотрщика видео (подверженным атаке пользователям потребуется перезайти в свой аккаунт).