HINA AGONG | Polis Siasat Akaun Facebook
Isi kandungan:
Facebook telah menambal kerentanan yang serius yang boleh membolehkan penyerang mudah mendapat akses ke data akaun pengguna swasta dan mengawal akaun dengan menipu pengguna ke dalam pembukaan
Nir Goldshlager, penyelidik yang mendakwa telah menemui kecacatan itu dan melaporkannya ke Facebook, menyiarkan penerangan terperinci dan demonstrasi video tentang bagaimana serangan itu dilakukan pada blognya.
Kerentanan itu akan membolehkan penyerang berpotensi untuk mencuri kepingan maklumat sensitif yang dikenali sebagai token akses OAuth. Facebook menggunakan protokol OAuth untuk memberikan akses aplikasi pihak ketiga ke akaun pengguna selepas pengguna meluluskannya.
[Bacaan lanjut: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows Anda]Goldshlager mendapati kelemahan di laman web Facebook untuk peranti mudah alih dan sentuhan yang didayakan yang berasal dari perkara yang tidak betul sanitasi laluan URL. Ini membenarkannya membuat URL yang boleh digunakan untuk mencuri token akses untuk sebarang aplikasi pengguna telah memasang pada profil mereka.
Walaupun kebanyakan aplikasi di Facebook adalah aplikasi pihak ketiga yang pengguna perlu membuat persetujuan secara manual, terdapat beberapa aplikasi terbina dalam yang diluluskan sebelum ini. Satu aplikasi sedemikian ialah Facebook Messenger; Token akses tidak akan luput melainkan pengguna mengubah kata laluannya dan mempunyai kebenaran yang luas untuk mengakses data akaun.
Facebook Messenger boleh membaca, menghantar, memuat naik, dan mengurus mesej, pemberitahuan, foto, e-mel, video dan banyak lagi. Kelemahan manipulasi URL yang terdapat pada m.facebook.com dan touch.facebook.com, mungkin telah dieksploitasi untuk mencuri token akses pengguna untuk Facebook Messenger, yang akan memberikan penyerang akses penuh ke akaun tersebut, kata Goldshlager.
Fingered oleh bug-hunter
URL serangan mungkin telah dipendekkan dengan salah satu daripada banyak perkhidmatan pemingkat URL dan dihantar kepada pengguna yang menyamar sebagai pautan ke sesuatu yang lain. Serangan itu juga telah dilakukan pada akaun yang membolehkan pengesahan dua faktor Facebook diaktifkan, kata Goldshlager.
Dengan token akses dan ID pengguna Facebook, penyerang boleh mengeluarkan maklumat dari akaun pengguna dengan menggunakan Graph API Explorer, sebuah alat untuk pemaju yang terdapat di laman Facebook, Goldshlager berkata Jumaat melalui e-mel.
Menurut Goldshlager, Pasukan Keselamatan Facebook menetapkan kelemahan itu. "Facebook mempunyai pasukan keselamatan yang profesional dan mereka membaiki isu-isu yang sangat cepat," katanya.
"Kami menyambut para penyelidik keselamatan yang membawa masalah ini kepada kami dan bertanggungjawab melaporkan pelanggaran itu kepada Program Hat Putih kami," seorang wakil Facebook kata Jumaat melalui e-mel. "Kami bekerjasama dengan pasukan kami untuk memastikan kami memahami skop kelemahan penuh, yang membolehkan kami membetulkannya tanpa bukti bahawa pepijat ini dieksploitasi di alam liar. Disebabkan pelaporan yang bertanggungjawab mengenai isu ini ke Facebook, kami tidak mempunyai bukti bahawa pengguna terpengaruh oleh pepijat ini. Kami telah memberikan kurnia kepada penyelidik untuk mengucapkan terima kasih atas sumbangan mereka kepada Facebook Security. "
Penyelidik mendakwa bahawa dia juga menemui kelemahan yang berkaitan dengan OAuth yang memberi kesan kepada Facebook, tetapi enggan mendedahkan sebarang maklumat mengenai mereka kerana mereka tidak mempunyai '
Facebook menjalankan program karunia pepijat di mana ia memberi ganjaran kewangan kepada penyelidik keselamatan yang mencari dan bertanggungjawab melaporkan kerentanan yang mempengaruhi laman web tersebut.
Goldshlager berkata di Twitter bahawa dia belum dibayar oleh Facebook untuk melaporkan kerentanan ini, tetapi menyatakan bahawa laporannya termasuk beberapa kerentanan dan bahawa dia mungkin akan menerima ganjaran setelah semua itu dapat diperbaiki.
Facebook membayar penyelidik keselamatan dengan baik untuk mencari dan melaporkan pepijat, kata Goldshlager melalui e-mel. "Saya tidak boleh mengatakan berapa banyak, tetapi mereka membayar lebih banyak lagi apa-apa program karunia bug lain yang saya tahu."
Dikemaskini pukul 11:55 pagi PT untuk menyertakan komen dari Facebook.
> Dokumen dalaman yang diperkatakan dan maklumat sensitif dari Twitter dan pekerjanya mungkin disiarkan hari ini di laman web : Diego Aguirrews dan kedai web lain. Sumber maklumat ini adalah penggodam Perancis yang masuk dengan nama Hacker Croll. Jenayah siber mendakwa telah mengakses maklumat sensitif peribadi untuk beberapa pekerja Twitter termasuk akaun peribadi di PayPal, Amazon, AT & T, MobileMe, Facebook, akaun Gmail perniagaan, dan akaun pendaftar Web untuk Twitter.com, menurut blog
Selepas berita tentang pelanggaran keselamatan menjadi terbuka, pengasas bersama Twitter Evan Williams telah dihubungi oleh TechCrunch untuk mengesahkan kecurian dokumen itu. Williams dilaporkan mengesahkan bahawa Twitter telah mengalami serangan beberapa minggu yang lalu, tetapi peristiwa itu tidak berkaitan dengan serangan itu pada April apabila seorang hacker mendapat akses ke beberapa akaun pengguna berprofil tinggi dan fungsi pentadbiran Twitter. Hack April juga dilakukan oleh cybercriminal
Serangan email mengeksploitasi kerentanan di laman Yahoo untuk merampas akaun
Hacker di belakang kempen serangan e-mel yang baru dikesan mengeksploitasi kerentanan di laman web Yahoo merampas akaun e-mel pengguna Yahoo dan menggunakannya untuk spam, menurut penyelidik keselamatan dari vendor antivirus Bitdefender.
Yahoo plug hole yang diperbolehkan merampas account email
Hacker di belakang kampanye serangan e-mail yang terdeteksi baru-baru ini mengeksploitasi kerentanan di situs web Yahoo untuk merampas email akaun pengguna Yahoo dan menggunakannya untuk spam.