Facebook Güvenlik Güncellemesi

Güvenlik Güncellemesi

By Guy Rosen ,  Ürün Yönetimi Başkan Yardımcısı

25 Eylül Salı günü öğleden sonra, mühendislik ekibimiz yaklaşık 50 milyon hesabı etkileyen bir güvenlik sorunu keşfetti. Bunu inanılmaz derecede ciddiye alıyoruz ve herkesin ne olduğunu ve insanların güvenliğini korumak için aldığımız acil eylemi bildirmesini istedik.

Araştırmamız hala erken aşamalarında. Ancak saldırganların, Facebook’un kodunda “ View As ” i etkileyen ve kullanıcıların kendi profillerinin neye benzediğini görmelerini sağlayan bir özellik olduğu açık bir şekilde ortaya çıkmıştır . Bu, daha sonra, kullanıcıların hesaplarını devralmak için kullanabilecekleri Facebook erişim jetonlarını çalmalarına izin verdi. Erişim belirteçleri, kişilerin Facebook’a giriş yapmasını engelleyen dijital anahtarlara eşdeğerdir, böylece uygulamayı her kullandıklarında şifrelerini tekrar girmeleri gerekmez.

İşte daha önce aldığımız eylem. İlk olarak, güvenlik açığını giderdik ve yasa uygulayıcılarını bilgilendirdik.

İkincisi, güvenliklerini korumak için etkilendiğini bildiğimiz yaklaşık 50 milyon hesabın erişim belirteçlerini sıfırladık. Geçtiğimiz yıl bir “Farklı Görünüm” konusuna tabi tutulan 40 milyon hesap için erişim belirteçlerini sıfırlamanın ihtiyatlı adımını da atıyoruz. Sonuç olarak, şu anda 90 milyondan fazla kişinin Facebook’a veya Facebook Giriş’i kullanan uygulamalarına giriş yapması gerekiyor. Giriş yaptıktan sonra, insanlar neler olduğunu açıklayan Haber Bültenlerinin en üstünde bir bildirim alacaklar.

Bildirim görüntüsünü içerecek şekilde 28 Eylül 2018 de 1:08 PM PT tarihinde güncellendi.

Üçüncüsü, kapsamlı bir güvenlik incelemesi yaparken geçici olarak “View As” özelliğini kapatıyoruz.

Bu saldırı, kodumuzdaki birden çok sorunun karmaşık etkileşimini istismar etti. Bu, Temmuz 2016’da video yükleme özelliğimize yaptığımız bir değişiklikten kaynaklandı. Bu, “Farklı Görüntüleme” yi etkiledi. Saldırganlar yalnızca bu güvenlik açığını bulmaya ve erişim belirteci almak için kullanmaya gerek kalmadan, bu hesaptan ayrılmak zorunda kalıyorlardı. Diğerleri daha fazla jeton çalmak için.

Araştırmamıza henüz yeni başladığımızdan beri, bu hesapların yanlış kullanıldığını veya herhangi bir bilgiye erişilip erişilmediğini henüz belirledik. Ayrıca, bu saldırıların ardında kimin bulunduğunu veya nerede olduklarını da bilmiyoruz. Bu ayrıntıları daha iyi anlamak için çok çalışıyoruz. Daha fazla bilgiye sahip olduğumuzda ya da gerçekler değiştiğinde bu gönderiyi güncelleyeceğiz. Ayrıca, daha fazla etkilenen hesap bulursak, erişim belirteçlerini hemen sıfırlayacağız.

Halk gizlilik ve güvenlik çok önemli olduğunu , ve biz bu oldu üzgünüz. Bu yüzden bu hesapları güvenceye almak ve kullanıcılara neler olduğunu bildirmek için hemen harekete geçtik. Kimsenin şifrelerini değiştirmesine gerek yok. Ancak, Facebook’a giriş yapmakta zorluk çeken kişiler – örneğin şifrelerini unuttukları için – Yardım Merkezimizi ziyaret etmeliler . Ve eğer birisi Facebook’tan çıkış yapmakla ilgili ihtiyati tedbirleri almak isterse , ayarlarda “ Güvenlik ve Giriş ” bölümünü ziyaret etmeleri gerekir . İnsanların Facebook’a giriş yaptıkları yerleri tek tıklatma seçeneğiyle listeler.

28 Eylül 2018’de saat 16: 45’de PT’ye güncelleme 

Ek Teknik Detaylar

Pedro Canahuati, VP Mühendislik, Güvenlik ve Gizlilik

Yukarıda açıklanan güvenlik sorunuyla ilgili bazı ek teknik ayrıntılar.

Bu haftanın başlarında, harici bir aktörün sistemimize saldırdığını ve “Farklı Görüntüleme” özelliğinin belirli bir bileşenini oluşturduğumuzda, Facebook’taki kullanıcıların erişim hesapları HTML’lerini belirten bir güvenlik açığından yararlandığını keşfettik. Bu güvenlik açığı üç farklı hatanın etkileşiminin sonucuydu:

İlk olarak: Görünüm As, kullanıcıların kendi profillerinin başkalarına nasıl göründüğünü görmesini sağlayan bir gizlilik özelliğidir. Görünüm Sadece bir bakış arayüzü olmalıdır. Ancak, bir tür besteci (Facebook’a içerik göndermenizi sağlayan kutu) – özellikle insanların arkadaşlarının doğum gününü kutlamasını sağlayan sürüm – Görüntüleme Yanlış bir şekilde video yayınlama fırsatı sağladı.

İkincisi: Temmuz 2017’de kullanıma sunulan video yükleyicimizin (ilk hatanın sonucu olarak sunulacak olan arayüz) yeni bir sürümü, Facebook mobil uygulamasının izinlerine sahip bir erişim belirteci yanlış bir şekilde oluşturdu.

Üçüncüsü : Video yükleyici, Farklı Görüntüleme’nin parçası olarak göründüğünde, görüntüleyici olarak sizin için değil, sizin aradığınız kullanıcı için erişim belirteci oluşturdu.

Güvenlik açığı haline gelen bu üç hatanın bir araya gelmesiydi: Profilinizi arkadaş olarak görmek için Farklı Görüntüleme özelliğini kullanırken, kod, insanların doğum gününüzü kutlamasını sağlayan besteyi çıkarmadı; Video yükleyici, olmaması gerektiğinde bir erişim belirteci oluşturacaktır; ve erişim belirteci oluşturulduğunda, bu sizin için değil, ama bakılan kişi değildi. Bu erişim belirteci sayfanın HTML’sinde mevcuttu ve saldırganlar başka bir kullanıcı olarak giriş yapmak için ayıklayıp bunları kullanabildiler.

Saldırganlar daha sonra bu erişim belirtecinden diğer hesaplara dönebilir, aynı eylemleri gerçekleştirebilir ve daha fazla erişim belirteçleri elde edebilirler.

İnsanların hesaplarını korumak için güvenlik açığını düzelttik. Ayrıca, etkilendiğini bildiğimiz 50 milyondan fazla hesabın erişim belirteçlerini de sıfırladık ve aynı zamanda geçen yılki bir Bakış Açma görünümüne tabi tutulan 40 milyon hesap için erişim belirteçlerini sıfırlamanın ihtiyatlı adımını da attık. . Sonunda, kapsamlı bir güvenlik incelemesi yaparken View As özelliğini geçici olarak kapattık.

Başa Dön 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

RSS
Facebook20
Facebook