For et stykke tid siden åbnede jeg Facebook-appen på Android, og så fik jeg beskeden “Session udløbet. Log ind igen.”. Jeg prøvede derefter at logge ind med min nuværende adgangskode og lykkedes at logge ind på min konto. Før, for længe siden, da jeg oprettede denne konto, oprettede jeg tofaktorautentificering til min konto, og da jeg tjekkede efter at jeg havde logget ind, var den stadig aktiv.
Derefter, Jeg åbnede min bærbare computer, og Chrome gik derefter til Facebook, bare for at finde ud af, at sessionen på pc også var logget ud. Efter at jeg var logget ind igen, gik jeg til sikkerhed under indstillinger og tjekede afsnittet “Når du er logget ind” og Jeg så, at alle de tidligere loggede poster er væk. De eneste poster, jeg fik, var dem, der logger ind på min telefon og min bærbare computer (syntes også at være mine pålidelige enheder).
Jeg tænkte på, at nogen havde forsøgt (og lykkedes?) At få adgang til min konto, så logget ud af alle aktuelle sessioner. Jeg fik dog ingen mistænkelig meddelelse på min telefon om at godkende en usædvanlig login (Som “Har du lige logget ind i nærheden af placering xxxxx?”), Heller ingen advarsel-e-mail fra min registrerede e-mail, der fortæller mig om min konto, der er adgang til en ukendt browser eller computer.
Tl; dr: Facebook-konto blev pludselig logget ud af alle enheder, adgangskoden blev ikke ændret, loggede poster er væk, nej e-mailadvarsel om, at kontoen er kompromitteret, ingen to-faktor-godkendelsesprompt dukkede op.
Mine spørgsmål er:
-
Er der nogen chancer for, at nogen med succes kunne komme ind på min konto? Hvis ja, hvordan kunne de så omgå tofaktorautentificeringen?
-
Er den hændelse normal, eller skal jeg tage sikkerhedshandlinger?
Tak!
Kommentarer
- Hvilken 2FA-metode bruger du? Jeg husker ikke ‘ hvilke metoder Facebook tilbyder, men SMS er svage, fordi nogen kan efterligne dig og nemt få et SIM-kort med dit nummer og dermed modtage SMSet i stedet for dig (skete flere gange Der var en seriel upersonificator, der målrettede store youtube-skabere og slettede deres kanaler. De gjorde dette over for flere skabere). Men hvis dette var tilfældet, skulle dit SIM ikke ‘ ikke fungere lige nu. Andre typer 2FA ville være sværere at bryde uden at få adgang til den betroede enhed. Måske er sessionerne lige udløbet.
- Jeg bruger både SMS og kodegeneratoren fra Facebook til Android-appen. Om SMS fungerer mit SIM stadig fint. For kodegeneratoren behøver jeg faktisk ikke ‘ at åbne Facebook-appen for at få OTP-koden. Der vil være en prompt i notifikationslinjen, der stryges ned, jeg kan klikke på ” Ja ” for at bekræfte min login, eller ” Nej ” i tilfælde af mistænkelige aktiviteter. Når jeg har klikket på ” Ja “, omdirigerer browseren mig automatisk til nyhedsfeed.
- Jeg tror på dig skal fjerne SMS. De tilføjer ikke nogen sikkerhed og faktisk reducerer de det meget (som jeg sagde: det ‘ er ret let at overbevise nogen i en SIM-butik om at give dig et SIM-kort til en eksisterende nummer. Så dybest set gør det dit kodeord ubrugeligt). AFAIK fra det, du fortalte, at jeg ikke ‘ ikke tænker noget fishy ved dette, måske oprettede du sessionerne på alle dine enheder næsten på samme tid, og de udløb alle på kort tid .
- Jeg var logget ud på alle enheder, men også i samme enhed to gange efter at have logget ind igen efter den første logout.
- +1 for at bemærke, at du blev bedt om at log ind uventet. Det er en god sikkerhedspraksis at bemærke, når der kræves en sikkerhedsforanstaltning (såsom godkendelse) uventet. Forhåbentlig har du også bekræftet, at du kiggede på en ægte Facebook-login-side, inden du igen indtastede dine legitimationsoplysninger.
Svar
Facebook rapporterede en datalækage i dag og tvang et stort antal konti til at logge af som en forholdsregel. Kilde: NY Times og Facebook .
Den NYT-artikel siger ”Virksomheden tvang mere end 90 millioner brugere til at logge ud tidligt på fredag, en almindelig sikkerhedsforanstaltning, der blev truffet, når konti er kompromitteret.”
Yderligere artikel fra The Hacker News – ” ukendt hacker eller en gruppe hackere udnyttede en nul-dags sårbarhed i sin social medieplatform, der tillod dem at stjæle hemmelige adgangs-tokens til mere end 50 millioner konti “ og ” Facebook har allerede nulstillet adgangs-tokens til næsten 50 millioner berørte Facebook-konti og yderligere 40 millioner konti som en forholdsregel “
Kommentarer
- Jeg blev berørt lige som OP var. Men det ‘ er ret ubelejligt, at de tilbagekaldte alle tokens OG fjernede oplysninger fra Når du ‘ er logget ind igen så vi kan ‘ t se om nogen har fået adgang til vores data …
- @ThibaultD. det kan bare være meget praktisk for dem.
Svar
Er der nogen chancer for, at nogen med succes kunne komme ind på min konto? Hvis ja, n hvordan kunne de omgå tofaktorautentificeringen?
Hvis din konto havde 2fa, synes det usandsynligt, at en angriber kunne bruge denne udnyttelse til at komme ind i den . Men mange Facebook-brugere bruger ikke 2-faktor-godkendelse.
Er den hændelse normal, eller skal jeg tage sikkerhedshandlinger?
Der er allerede truffet handling for dig. Ethvert gammelt token, du havde, er ikke længere gyldigt, ikke for dig og heller ikke for en angriber. Derfor var du pludselig ikke i stand til at få adgang Facebook uden at logge ind igen. Den samme ting gælder for alle, der måske har ønsket at udnytte et token, der lader dem spoofe som dig – også de bliver nødt til at godkende igen. Ingen af Facebooks udsagn tyder på, at de “er i stand til at godkende som dig som et resultat af netop denne udnyttelse eller sårbarhed. De gør det heller ikke helt klart, at Facebook gjorde mere end bare at nulstille tokens – hvis det var alt, hvad de gjorde, ville alle angriberne være at begynde at indsamle tokens igen. Jeg antager, at Facebook lappede sårbarheden ved samme tid, så stjålne tokens ikke kan misbruges igen i fremtiden.
Kommentarer
- Med hensyn til de angribere, der indsamler tokens igen, har Facebook deaktiveret funktion (” Vis som “), der forårsagede lækagen. Kilde: ‘ virksomheden [ Facebook ] suspenderede ” Vis som ” -funktion, mens den gennemgår dens sikkerhed. ‘
- Den samme artikel siger også ” Denne sårbarhed, der bestod af tre separate fejl, tillod også hackere at få adgangstokener – digitale nøgler, der lader folk forblive logget ind i tjenesten uden at skulle indtaste deres adgangskode – som kunne bruges til at kontrollere andre mennesker ‘ s konti. ” hvilket synes at være i modstrid med det, du sagde.
- Dette svar er forkert . Mark Zuckerberg selv indsendte en erklæring om, at ” vi opdagede, at en angriber udnyttede en teknisk sårbarhed til at stjæle adgangstokener, der giver dem mulighed for at logge ind på omkring 50 millioner mennesker ‘ s konti ” . Han oplyser også, at problemet blev opdateret, og ruten, der blev brugt til at udnytte sårbarheden (” Vis som “), er midlertidigt deaktiveret, mens gennemgå det.
- @Herohtar – Zuckerberg ‘ s erklæring er et forsøg på at forklare stjålne sessionscookies på en måde, der er umiddelbart klar for lægmanden. Det ‘ er meget almindeligt, at sådanne udsagn er åbenlyst ukorrekte for dem, der allerede er fortrolige med emnet. I dette tilfælde er det svaret, der er korrekt, og Zuck ‘ s udsagn, der er teknisk forkert (men tæt nok og forenklet nok til at være nyttigt for den ikke-specialiserede offentlighed) .
- @DaveSherohman Nej, svaret er bestemt forkert; Jeg citerede Zuckerberg som værende mest autoritativ, men der er flere andre artikler fra tech-websteder, der faktisk talte med folk fra Facebook-teamet, og de siger alle, at det tillod logins. Det var også godkendelsestokens, der blev stjålet, ikke sessionscookies, og det er præcis det, der tillader login (selvom sessioncookies også kan). Endelig sagde de specifikt, at det tillod adgang til konti, der havde brugt Facebook-login – Instagram, Twitter osv. Disse konti ville ikke ‘ overhovedet blive påvirket, hvis de stjålne oplysninger ikke ‘ t tillader login.
Svar
Dette spørgsmål er en fantastisk mulighed for at påpege, at FB dårligt forkert håndteringen af dette. At blive uventet logget ud og bedt om at logge ind igen ligner phishing og det skal behandles som sådan af brugerne.
Efter ugyldiggørelse af sessionstokens skulle Facebook have fået de ugyldige til at omdirigere ikke til hovedloginsiden, men til en side, der forklarede bruddet og bede brugeren om at klikke på logout, derefter manuelt skriv facebook.com
i deres browserplaceringslinje og log ind igen.
Kommentarer
- 50 millioner mennesker, der prøver at skrive ” facebook.com ” er sandsynligvis en våd drøm for typosquatters.
- Kommentarer er ikke til udvidet diskussion; denne samtale er flyttet til chat .
Svar
Dette var en forsigtighedsforanstaltning, iværksat af Facebook.
Det minder os om et meget vigtigt punkt.
Facebook er et opslagstavle. Sæt ikke ting på et opslagstavle, som du ikke vil have folk til at se.
Husk det, og mange af “sikkerhedsmæssige bekymringer” forsvinder. Ikke alle, men mange af dem.
Kommentarer
- Privatliv er langt fra det eneste problem, der er involveret i sikkerhed. Jeg vil ‘ ikke have nogen til at udgive sig for mig uanset hvilke data de f.eks. Har adgang til.
- Desuden bruger folk facebook til at logge ind på en række andre sites …
- Det ‘ er sandsynligvis tilrådeligt ikke at bruge et opslagstavle som adgangskodeadministrator heller.
- Hvordan taler med flere sammenligner folk individuelt og privat med at lægge ting på et opslagstavle? Facebook sender mere end bare ting på din offentlige væg.
Svar
Er der nogen chancer for, at nogen med succes kunne komme ind på min konto? Hvis ja, hvordan kunne de så omgå tofaktorautentificeringen?
Ja. De udnyttede en fejl i Facebooks kode. Hvad de kunne se – ingen ved. Vi ved kun, hvad Facebook rapporterede, men stoler du på, at dette firma afslører alle oplysninger?
Er den hændelse normal, eller skal jeg tage sikkerhedshandlinger?
Du bør overveje at slette din konto fra websteder, der ikke beskytter din data godt nok. Du bliver nødt til at afveje fordelene ved at være på dette sted i forhold til risikoen for endnu et brud og følsomheden af de data, du sender dette firma og alt, hvad de kan gætte ud fra det . Dette kan omfatte din seksuelle orientering, dine partnere, anliggender, økonomiske situation, private chatbeskeder …