به گزارش شرکت مهندسی شبکه گستر، بامداد روز شنبه، شرکت فیسبوک اعلام کرد که چند نفوذگر ناشناس با بهرهجویی از سه آسیبپذیری امنیتی در سایت این شبکه اجتماعی، دادههای 50 میلیون کاربر آن را سرقت کردهاند. این شرکت در اقدامی احتیاطی توکنهای دسترسی نزدیک به 90 کاربر خود را بازنشانی (Reset) کرد. به گفته فیسبوک، آسیبپذیریهای مذکور ترمیم و اصلاح شدهاند. در این مطلب به بررسی ده نکته بااهمیت در خصوص این هک پرداخته شده است.
1- اطلاع فیسبوک از هک پس از افزایش ترافیک غیرعادی
در هفته گذشته، تیم امنیتی فیسبوک متوجه وجود ترافیک غیرعادی بر روی سرورهایش میشود؛ بررسیهای بیشتر مشخص میسازد که از 25 شهریور ماه مهاجمان در حال سرقت دادههای کاربران در این شبکه اجتماعی بودهاند.
2- بهرهجویی مهاجمان از سه آسیبپذیری امنیتی در سایت فیسبوک
هک در نتیجه وجود سه اشکال امنیتی در فیسبوک امکانپذیر شده است.
اولین باگ مربوط به ارسال پستهایی خاص در حین استفاده از گزینه Happy Birthday است که بطور ناصحیح گزینهای را برای ارسال ویدئو برای کاربران فراهم میکند.
باگ دوم مربوط به ارسالکننده ویدئو است که بطور ناصحیح یک توکن دسترسی که با آن امکان ورود به برنامک Facebook Mobile App ممکن میشود ایجاد میکند.
باگ سوم این است که توکن ایجاد شده نه برای ارسالکننده که برای کاربری است که پست برای او ارسال میشود. عملا مهاجمان از این طریق قادر به دستیابی به توکن دسترسی همه کاربران بودهاند.
3-سرقت توکنهای دسترسی 50 میلیون کاربر توسط هکرها
مهاجمان با توکنهای سرقت شده توانستهاند تا کنترل حساب کاربران را در اختیار بگیرند. توکنهای دسترسی معادل کلیدهای دیجیتالی هستند که کاربران را در فیسبوک Login شده نگاه میدارند و بنابراین لازم نیست تا در هر بار استفاده از برنامک مجددا رمز عبور وارد شود.
4- رمز عبور حسابهای فیسبوک فاش نشده، اما صبر کنید!
خوشبختانه مهاجمان قادر به دستیابی به رمزهای عبور نبودهاند اما همانطور که اشاره شده با توکنهای سرقت شده نیز دسترسی به حساب کاربری میسر است.
5- سرقت اطلاعات خصوصی کاربران با استفاده از یک API فیسبوک
با بهرهجویی از سه آسیبپذیری قدیمی مذکور تمامی اطلاعات شخصی از جمله پیامهای خصوصی، تصاویر و ویدئوها قابل دسترس بودهاند. مهاجمان از طریق یکی از APIهای فیسبوک و با استفاده از توکنهای سرقت شده اطلاعات کاربران را جمعآوری کردهاند.
6- در صورت استفاده از قابلیت “Logged in as Facebook”، اطلاعات کاربران در سایتها و برنامکهای ثالث در معرض خطر
از آنجا که توکنهای سرقت شده مهاجمان را قادر به دسترسی یافتن به حسابهای کاربری همانند صاحب واقعی حساب میکند بنابراین اطلاعات در سایتها و برنامکهای ثالث نیز در صورت استفاده از قابلیت “Logged in as Facebook” در معرض افشا شدن قرار دارد.
7- بازنشانی توکنهای دسترسی 90 میلیون کاربر
فیسبوک علاوه بر بازنشانی توکنهای دسترسی 50 میلیون کاربر، در اقدامی احتیاطی توکنهای 40 میلیون کاربر دیگر را نیز بازنشانی کرد. این بدان معناست که نزدیک به 90 میلیون کاربر فیسبوک در بامداد شنبه مجبور به انجام عملیات Login مجدد شدند.
8- لزوم بررسی نشستهای فعال در حسابهای کاربری فیسبوک
به تمامی کاربران فیسبوک توصیه میشود تا با مراجعه به مسیر زیر، نشستهای فعال (Active Sessions) بر روی حساب کاربری خود را رصد کنند:
Account Settings → Security and Login → Where You’re Logged In
در صورت مشاهده هر گونه نشست مشکوک میتوانید با یک کلیک، دسترسی آن را مسدود کنید.
9- عدم ارتباط هک اخیر با تهدیدکننده صفحه شخصی زاکربرگ
در هفته گذشته، یک هکر تایوانی ادعا کرد که برای نمایش وجود یک ضعف امنیتی روز صفر در فیسبوک قصد دارد تا در روز یکشنبه صفحه شخصی مارک زاکربرگ، مدیر عامل فیسبوک را هک کند. حداقل فیسبوک معتقد نیست که هک اخیر کار او باشد. ضمن اینکه این هکر شب گذشته اعلام کرد که برنامهاش را لغو کرده و ضعف مذکور را به فیسبوک گزارش داده است.
10- دادگاه در انتظار فیسبوک
پس از انتشار اخباری مبنی بر نشت اطلاعات برخی کاربران، دو شهروند آمریکایی شکایتی را بر علیه این شبکه اجتماعی تنظیم کردند. این دو بر این باورند که فیسبوک در تامین امنیت دادههای آنها کوتاهی کرده است.