Din konto på Facebook - og websteder, der bruger Facebook -login - kan blive kompromitteret. Her er hvad vi ved.

Jaap Arriens / Getty Images

OPDATER

2. oktober 2018 kl. 22:46

I et blogindlæg , Guy Rosen, Facebook VP for produktstyring, erkendte, at nogle tredjepartsapps, der bruger Facebook-login, herunder dem, der ikke bruger officielle Facebook SDK'er eller regelmæssigt kontrollerer, om Facebook-adgangstokener er gyldige, stadig kan udsætte brugere.



'Vi bygger et værktøj, der gør det muligt for udviklere manuelt at identificere de brugere af deres apps, der kan have været påvirket, så de kan logge dem ud,' skrev Rosen. Han nævnte ikke, hvornår værktøjet vil være tilgængeligt.

Facebook afslørede for nylig, at sikkerheden ved 50 millioner profiler blev kompromitteret, da angriberne stjal adgangstokener, der tillod dem at bryde ind på disse konti.

Facebook opdagede bruddet tirsdag den 25. september, og det nulstillede adgangstokener og tvang brugerne til at logge ind på deres konti torsdag den 27. september. Virksomheden afslørede angrebet i fredags.



Ud over Facebook-konti kan de stjålne adgangstokener også kompromittere konti på ethvert tredjepartswebsted, der bruger Facebook-login.

Nogle mennesker er usikre på, hvad det betyder for sikkerheden på deres Facebook -konti, så her er en oversigt over alt, hvad vi ved.

For det første er det sandsynligt, at overtrædelsen påvirkede dig.

Facebook nulstillede adgangstokenerne til 50 millioner kompromitterede konti, og som en sikkerhedsforanstaltning nulstillede den yderligere 40 millioner konti, som den mener kan være overtrådt.

Ved at nulstille tokens gjorde Facebook de stjålne tokens ugyldige. Brugere blev tvunget til at indtaste deres adgangskoder igen og logge ind på deres Facebook -konti.

Selvom WhatsApp -brugere ikke er berørt (WhatsApp ejes af Facebook), kan Instagram -brugere være det, så virksomheden fik Instagram -brugere til at fjerne tilknytningen og genoprette deres Facebook -konti.

Du behøver ikke nødvendigvis at ændre din adgangskode, men du bør gennemgå, hvor du er logget ind på Facebook.

Et adgangstoken er ikke et kodeord. Det er en række tegn, der giver dig mulighed for at forblive logget ind på Facebook. Adgangstokener er som digitale nøgler, siger Facebook, der holder dig logget ind på din Facebook -konto, selvom du ikke aktivt bruger Facebook, så du ikke behøver at indtaste en adgangskode igen, hver gang du besøger.

Der er ikke meget mere du kan gøre ved bruddet, da Facebook allerede har nulstillet disse adgangstokener.

Du bør dog besøge Facebooks Sikkerhed indstillingsside ( https://www.facebook.com/settings?tab=security ) og gennemgå afsnittet Hvor du er logget ind. Klik på ikonet til højre for at logge ud af din Facebook -konto på inaktive enheder.

På en iPhone kan du komme til siden Sikkerhedsindstillinger ved at trykke på menuen (nederst til højre), rulle ned til Indstillinger og fortrolighed, vælge Indstillinger og vælge Sikkerhed og login.



Nicole Nguyen / BuzzFeed News

Når det er sagt, skal du sørge for at have en stærk adgangskode til din Facebook-konto og tofaktorautentificering (via app, ikke sms) aktiveret.

Her er mere information om, hvordan du opretter en stærk adgangskode (tl; dr-få en adgangskodeadministrator og brug managerens adgangskodegenerator) og opsætter appbaseret tofaktorautentificering.

Du bør også gennemgå alle tredjepartsapps, hvor du bruger Facebook til at logge ind. De kan også være sårbare.

Gå til Facebook -indstillinger Apps og websteder for at gennemgå alle tredjepartsapps, der bruger dine Facebook-legitimationsoplysninger til at logge ind. Du bør tilbagekalde tilladelse til alle apps, du ikke længere bruger.

Derudover skal du gå til disse konti og se, om der var mistænkelig aktivitet, fortalte Jason Polakis, assisterende professor i datalogi ved University of Illinois i Chicago, til NBC News .

Det skyldes, at de stjålne adgangstokener ifølge Polakis kunne bruges til at logge ind på konti på websteder, der understøtter Facebook-godkendelse-selvom du ikke bruger Facebook som log-in.

Over 160.000 hjemmesider , herunder BuzzFeed, bruger i øjeblikket Facebook Login, et værktøj, der giver folk mulighed for at bruge deres Facebook -profil til at tilmelde sig i stedet for at oprette en ny konto. Det kaldes også Facebook single sign-on (eller Facebook SSO i tweetet herunder).

jason polakis @jpolakis

Et andet meget kritisk, men alligevel overset problem er, at de stjålne tokens kan bruges til at få adgang til en brugers konto på andre websteder, der understøtter Facebook SSO *, selvom brugeren ikke bruger Facebook SSO * til at få adgang til dem. Dette afhænger af tredjepartsimplementeringer. (6/n)

17:48 - 29. sep 2018 Svar Retweet Favorit

I en række af tweets , Forklarede Polakis, at afhængigt af hvordan disse websteder implementerede Facebook-login, kunne hackere få adgang til brugernes konti på hvert websted, hvor Facebook-enkeltlogon er implementeret.

I en e -mail -erklæring skrev en talsmand fra Facebook: Vi leverer bedste fremgangsmåder til udviklere, der bruger login og SDK'er, som hjælper dem med at opdage tvungen logouts som dem, vi gjorde i sidste uge for at beskytte mennesker. Vi udarbejder yderligere anbefalinger til alle udviklere, der reagerer på denne hændelse, og for at beskytte mennesker fremover. Hun gav også et link til Facebooks Login sikkerhed side for udviklere. Airbnb, Tinder, Bumble, Hinge og Getaround - websteder, der bruger Facebook -login - reagerede ikke på anmodninger om kommentarer.

En talsmand for Pinterest sagde: Vi arbejder aktivt med Facebook for at undersøge og bestemme virkningen. Vi holder brugerne opdateret, hvis der er opdateringer, de skal være opmærksom på.

En talsmand for Spotify kommenterede, Spotify har ikke oplevet et sikkerhedsbrud. Som en sikkerhedsforanstaltning kan bekymrede brugere opdatere deres Spotify -adgangskode, eller hvis kontoen blev oprettet via Facebook, kan Facebook -login via deres instruktioner.

Her er hvad der forårsagede bruddet til at begynde med: Angribere udnyttede en sårbarhed i funktionen Vis som, som lader dig se, hvordan din profil ser ud for andre mennesker, du har kært på Facebook.

View As skal kun være visningsfrit. Med andre ord burde du ikke kunne interagere med din profil i denne tilstand. I et specifikt tilfælde kan du dog interagere med din egen profil. En version af Vis som viste din profil, som den ville se ud på din fødselsdag. I denne version ser du, Skriv [dit navn] et fødselsdagsønske.

Facebook gav uforvarende mulighed for at sende en video til denne særlige fødselsdagsversion af Vis som. Denne videouploader genererede derefter et adgangstoken i webstedets HTML for den bruger, som du så din profil som.

Denne nye videooverførselsfunktion blev introduceret i juli 2017. I midten af ​​september iværksatte Facebook en undersøgelse, efter at den opdagede en stigning i brugerne af den nye funktionalitet, hvilket er, hvordan den afslørede angrebet den 25. september.

Dette adgangstoken er det, der gjorde det muligt for angribere at overtage din konto.

Disse adgangstokener kan også bruges til at få fuld kontrol over Facebook -konti, men Facebook siger, at en indledende undersøgelse ikke har vist at tokens blev brugt til at få adgang til private beskeder eller indlæg eller til at sende noget på disse konti hidtil.

Facebook aner stadig ikke, hvem angriberne er, eller hvor de er baseret.

Ifølge Facebook , dens undersøgelse er i sine tidlige stadier, og virksomheden ved ikke, om der rent faktisk var adgang til nogen konti ved hjælp af stjålne tokens.