Il y a quelque temps, jouvrais lapplication Facebook sur Android, puis jai reçu le message « Session expirée. Veuillez vous reconnecter. ». Jai ensuite essayé de me connecter avec mon mot de passe actuel et jai réussi à me connecter à mon compte. Avant, il y a longtemps, lorsque jai créé ce compte, je configurais une authentification à deux facteurs pour mon compte et lorsque je vérifiais après mêtre connecté, il était toujours actif.
Après cela, Jai ouvert mon ordinateur portable et Chrome puis je suis allé sur Facebook, juste pour découvrir que la session sur PC était également déconnectée. Une fois que je me suis reconnecté, je suis allé dans les paramètres de sécurité et jai vérifié la section « Lorsque vous êtes » connecté « et Jai vu que toutes les entrées de connexion passées ont disparu. Les seules entrées que jai reçues étaient celles de la connexion sur mon téléphone et mon ordinateur portable (il semblait également être mes appareils de confiance).
Je pensais que quelquun avait essayé (et réussi?) Daccéder à mon compte, puis déconnecté de toutes les sessions en cours. Cependant, je nai reçu aucune invite suspecte sur mon téléphone pour authentifier une connexion inhabituelle (comme « Vous venez de vous connecter près de lemplacement xxxxx? »), Pas plus de-mail davertissement de mon e-mail enregistré minformant que mon compte est accédé sur un navigateur ou ordinateur non reconnu.
Tl; dr: le compte Facebook sest soudainement déconnecté de tous les appareils, le mot de passe na pas été changé, les entrées connectées ont disparu, non avertissement par e-mail concernant la compromission du compte, aucune invite dauthentification à deux facteurs ne sest affichée.
Mes questions sont:
-
Y a-t-il des chances que quelquun ait réussi à accéder à mon compte? Si oui, comment pourraient-ils contourner lauthentification à deux facteurs?
-
Cet incident est-il normal ou je devrais prendre des mesures de sécurité?
Merci!
Commentaires
- Quelle méthode 2FA utilisez-vous? Je ne me souviens ‘ des méthodes fournies par Facebook, mais les SMS sont faibles car quelquun peut se faire passer pour vous et obtenir facilement une carte SIM avec votre numéro, recevant ainsi le SMS à votre place (arrivé plusieurs fois . Il y avait un imitateur en série qui ciblait les grands créateurs YouTube et supprimait leurs chaînes. Ils lont fait à plusieurs créateurs). Cependant, si tel était le cas, votre carte SIM ne devrait ‘ pas fonctionner maintenant. Dautres types de 2FA seraient plus difficiles à briser sans avoir accès à lappareil de confiance. Peut-être que les sessions viennent juste dexpirer.
- Jutilise à la fois le SMS et le générateur de code de lapplication Facebook pour Android. À propos du SMS, ma carte SIM fonctionne toujours correctement. Pour le générateur de code, je nai ‘ pas besoin douvrir lapplication Facebook pour obtenir le code OTP. Une invite saffichera dans la barre de notification, je peux cliquer sur » Oui » pour vérifier ma connexion ou sur » Non » en cas dactivités suspectes. Après avoir cliqué sur » Oui « , le navigateur me redirigera automatiquement vers le fil dactualité.
- Je vous crois devrait supprimer les SMS. Ils n’ajoutent pas vraiment de sécurité et en fait ils la réduisent beaucoup (comme je l’ai dit: il ‘ est assez facile de convaincre quelquun dans un magasin SIM de vous donner une carte SIM pour un numéro existant. Donc, fondamentalement, cela rend votre mot de passe inutile). AFAIK daprès ce que vous avez dit, je ne pense ‘ à rien de louche à ce sujet, peut-être avez-vous créé les sessions sur tous vos appareils presque en même temps et elles ont toutes expiré dans un court laps de temps .
- Jai été déconnecté sur tous les appareils, mais aussi sur un même appareil deux fois après mêtre reconnecté après la première déconnexion.
- +1 pour avoir remarqué que vous étiez invité à connectez-vous de manière inattendue. Il est recommandé de remarquer quune mesure de sécurité (telle que lauthentification) est demandée de manière inattendue. Jespère que vous avez également vérifié que vous consultiez une véritable page de connexion Facebook avant de saisir à nouveau vos informations didentification.
Réponse
Facebook a signalé une fuite de données aujourdhui et a forcé un grand nombre de comptes à se déconnecter par précaution. Source: NY Times et Facebook .
Cet article du NYT dit «La société a forcé plus de 90 millions dutilisateurs à se déconnecter tôt vendredi, une mesure de sécurité commune prise lorsque des comptes ont été compromis. »
Article supplémentaire de The Hacker News – » un pirate informatique inconnu ou un groupe de pirates a exploité une vulnérabilité zero-day dans son plate-forme de médias sociaux qui leur a permis de voler des jetons daccès secrets pour plus de 50 millions de comptes « et » Facebook a déjà réinitialisé les jetons daccès pour près de 50 millions de comptes Facebook concernés et 40 millions de comptes supplémentaires, par mesure de précaution «
Commentaires
- Jai été affecté tout comme OP létait. Mais cela ‘ Cest plutôt gênant quils ont révoqué tous les jetons ET supprimé les informations de Lorsque vous ‘ vous reconnectez afin que nous puissions ‘ t voir si quelquun a accédé à nos données …
- @ThibaultD. cela pourrait être très pratique pour eux.
Réponse
Y a-t-il des chances que quelquun ait réussi à accéder à mon compte? Si oui, le n comment pourraient-ils contourner lauthentification à deux facteurs?
Si votre compte avait 2fa, il semble peu probable quun attaquant puisse utiliser cet exploit pour y pénétrer . Mais de nombreux utilisateurs de Facebook nutilisent pas lauthentification à 2 facteurs.
Cet incident est-il normal ou dois-je prendre des mesures de sécurité?
Des mesures ont déjà été prises pour vous. Tout ancien jeton que vous aviez nest plus valide, ni pour vous ni pour un attaquant non plus. Cest pourquoi vous navez soudainement pas pu accéder Facebook sans vous reconnecter. La même chose est vraie pour tous ceux qui auraient pu vouloir exploiter un jeton qui les laisserait usurper votre identité – eux aussi devraient se réauthentifier. Aucune des déclarations de Facebook ne suggère quils «peuvent sauthentifier en tant que vous à la suite de cet exploit ou de cette vulnérabilité particulière. Ils ne précisent pas non plus que Facebook a fait plus que simplement réinitialiser les jetons – si cétait tout ce quils faisaient, tout ce que les attaquants auraient à faire serait de recommencer à collecter des jetons. Je suppose que Facebook a corrigé la vulnérabilité à la en même temps pour que les jetons volés ne puissent plus être abusés à lavenir.
Commentaires
- Concernant les attaquants qui collectent à nouveau des jetons, Facebook a désactivé le caractéristique ( » Afficher comme « ) qui a causé la fuite. Source: ‘ la société [ Facebook ] a suspendu la fonctionnalité » Afficher sous » pendant quelle examine sa sécurité. ‘
- Le même article dit également » Cette vulnérabilité, qui consistait en trois bogues distincts, permettait également aux pirates dobtenir des jetons daccès – des clés numériques permettant aux utilisateurs de rester connectés au service sans avoir à ressaisir leur mot de passe – qui pourraient être utilisés pour contrôler dautres personnes ‘ comptes. » qui semble contredire ce que vous avez dit.
- Cette réponse est incorrecte . Mark Zuckerberg lui-même a publié une déclaration disant: » nous avons découvert quun attaquant exploitait une vulnérabilité technique pour voler des jetons daccès qui leur permettraient de se connecter à environ 50 millions de personnes ‘ comptes » . Il déclare également que le problème a été corrigé et que la route utilisée pour exploiter la vulnérabilité ( » Afficher comme « ) a été temporairement désactivée pendant quils examinez-la.
- La déclaration de @Herohtar – Zuckerberg ‘ est une tentative dexpliquer les cookies de session volés dune manière immédiatement claire pour le profane. Il ‘ est très courant que de telles déclarations soient manifestement incorrectes pour ceux qui connaissent déjà bien le sujet. Dans ce cas, cest la réponse qui est correcte et la déclaration de Zuck ‘ qui est techniquement incorrecte (mais suffisamment proche, et suffisamment simplifiée, pour être utile au public non spécialiste) .
- @DaveSherohman Non, la réponse est définitivement fausse; Jai cité Zuckerberg comme étant celui qui fait le plus autorité, mais il y a plusieurs autres articles de sites technologiques qui ont en fait parlé avec des personnes de léquipe Facebook et ils disent tous que cela a permis les connexions. En outre, ce sont les jetons dauthentification qui ont été volés, pas les cookies de session, et cest exactement ce qui permet les connexions (bien que les cookies de session le puissent aussi). Enfin, ils ont spécifiquement déclaré quil autorisait laccès aux comptes qui avaient utilisé la connexion Facebook – Instagram, Twitter, etc. Ces comptes ne seraient pas ‘ affectés du tout si les informations volées nétaient pas ‘ t autorise les connexions.
Réponse
Cette question est une excellente occasion de souligner que FB a mal bâclé la gestion de cela. Être déconnecté de façon inattendue et invité à se reconnecter ressemble à du phishing et doit être traité comme tel par les utilisateurs.
Après avoir invalidé les jetons de session, Facebook aurait dû rediriger les non valides non pas vers la page de connexion principale, mais vers une page expliquant la violation et demandant à lutilisateur de cliquer sur déconnexion, puis manuellement tapez facebook.com
dans la barre dadresse de leur navigateur et reconnectez-vous.
Commentaires
- 50 millions de personnes essayant de taper » facebook.com » est probablement un rêve humide pour typosquatters.
- Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été déplacée vers le chat .
Réponse
Cétait une mesure de précaution, initiée par Facebook.
Cela nous rappelle un point très important.
Facebook est un panneau daffichage. Ne mettez pas sur un tableau daffichage des choses que vous ne voulez pas que les gens voient.
Souvenez-vous de cela, et beaucoup de soucis de «sécurité» disparaissent. Pas tous, mais beaucoup dentre eux.
Commentaires
- La confidentialité est loin dêtre le seul problème de sécurité. Je ‘ ne veux pas que quiconque usurpe mon identité, quelles que soient les données auxquelles ils peuvent accéder, par exemple.
- De plus, les gens utilisent Facebook pour se connecter à divers autres sites …
- Il ‘ est probablement conseillé de ne pas non plus utiliser un tableau d’affichage comme gestionnaire de mots de passe.
- Comment parler à plusieurs les gens individuellement et en privé comparent-ils à laffichage de choses sur un tableau daffichage? Facebook ne se contente pas de publier des éléments sur votre mur public.
Réponse
Y a-t-il des chances que quelquun ait réussi à accéder à mon compte? Si oui, comment pourraient-ils contourner lauthentification à deux facteurs?
Oui. Ils ont exploité un bogue dans le code de Facebook. Ce quils ont pu voir – personne ne sait. Nous ne savons que ce que Facebook a rapporté, mais faites-vous confiance à cette société pour divulguer toutes les informations?
Cet incident est-il normal ou dois-je prendre des mesures de sécurité?
Vous devriez envisager de supprimer votre compte des sites qui ne sécurisent pas votre Vous devrez peser les avantages d’être sur ce site par rapport au risque d’une autre violation et à la sensibilité des données que vous envoyez à cette société et tout ce qu’elle peut en déduire . Cela peut inclure votre orientation sexuelle, vos partenaires, vos affaires, votre situation financière, les messages de chat privé …