Nemrégiben megnyitottam a Facebook alkalmazást Android-on, majd kaptam a “Munkamenet lejárt. Kérjük, jelentkezzen be újra” üzenetet. Ezután megpróbáltam bejelentkezni a jelenlegi jelszavammal, és sikeresen beléptem a fiókomba. Korábban, nagyon régen, amikor létrehoztam ezt a fiókot, kétfaktoros hitelesítést állítottam be a fiókomhoz, és amikor a bejelentkezés után ellenőriztem, akkor is aktív volt.

Ezt követően Kinyitottam a laptopomat, majd a Chrome felkereste a Facebookot, csak hogy kiderüljön, hogy a PC-n lévő munkamenet is ki volt-e jelentkezve. Miután újra bejelentkeztem, a beállítások alatt a Biztonság felé mentem, és megnéztem a “Amikor újból bejelentkeztél” részt, és Láttam, hogy az összes múltba bejelentkezett bejegyzés eltűnt. Az egyetlen olyan bejegyzést kaptam, amely bejelentkezett a telefonomra és a laptopomra (ez is megbízható eszköznek tűnt).

Arra gondoltam, hogy valaki megpróbálta (és sikerült?) Hozzáférni a fiókomhoz, majd kijelentkezett az összes aktuális munkamenetből. A telefonomon azonban nem kaptam gyanús felszólítást a szokatlan bejelentkezés hitelesítésére (például “Nemrég bejelentkeztél a xxxxx hely közelében?”), És a regisztrált e-mailemből nem érkezett figyelmeztető e-mail sem arról, hogy a fiókomhoz egy ismeretlen böngésző vagy számítógép.

Tl; dr: A Facebook-fiókot hirtelen kijelentkeztük minden eszközről, a jelszó nem változott, a bejelentkezett bejegyzések eltűntek, nem e-mailes figyelmeztetés a fiók megsértéséről, nem jelent meg kétfaktoros hitelesítési kérdés.

A kérdéseim a következők:

  • Van esély arra, hogy valaki sikeresen be tudjon jutni a számlámra? Ha igen, akkor hogyan tudnák megkerülni a kétfaktoros hitelesítést?

  • Ez az eset normális, vagy biztonsági intézkedéseket kell tennem?

Köszönöm!

Megjegyzések

  • Melyik 2FA módszert használja? Nem emlékszem ‘ arra, hogy mely módszereket kínálja a Facebook, de az SMS-ek gyengék, mert valaki megszemélyesítheti Önt, és könnyen megszerezhet egy SIM-kártyát a számával, így Ön helyett SMS-t kap (ez többször előfordult) . Volt egy soros megszemélyesítő, amely megcélozta a nagy YouTube-alkotókat és törölte a csatornáikat. Ezt több alkotóval tették. Ha ez az eset áll fenn, akkor a SIM-kártyájának nem kellene ‘ működnie. Más típusú 2FA-kat nehezebb lenne megtörni anélkül, hogy hozzáférnénk a megbízható eszközhöz. Lehet, hogy a munkamenetek éppen lejártak.
  • SMS-t és kódgenerátort is használok a Facebook for Android alkalmazásból. Az SMS-ről a SIM-kártyám még mindig jól működik. A Kódgenerátorhoz valójában nem kell, hogy ‘ nyissam meg a Facebook alkalmazást az OTP kód megszerzéséhez. A legördülő értesítési sávban megjelenik egy üzenet, a ” Igen ” gombra kattintva ellenőrizhetem a bejelentkezésemet, vagy ” Nem ” gyanús tevékenységek esetén. Miután rákattintottam az ” Igen ” gombra, a böngésző automatikusan átirányít a Hírcsatornába.
  • Hiszek benne el kell távolítania az SMS-t. Valójában nem adnak semmilyen biztonságot, sőt, sokat csökkentenek (mint mondtam: ‘ nagyon könnyű meggyőzni valakit egy SIM-boltból, hogy adjon neked egy SIM-t egy létező szám. Tehát alapvetően használhatatlanná teszi a jelszavát). AFAIK abból, amit mondtál, én nem gondolok erre semmi halált, talán szinte egyszerre hoztad létre a munkameneteket minden eszközödön, és ezek mind rövid időn belül lejártak .
  • Minden eszközön kijelentkeztem, de kétszer ugyanazon az eszközön is, miután ismét bejelentkeztem az első kijelentkezés után.
  • + 1-et, ha észrevettem, hogy felkértek váratlan bejelentkezés. Jó biztonsági gyakorlat észrevenni, ha váratlanul biztonsági intézkedést (például hitelesítést) követelnek. Remélhetőleg azt is ellenőrizte, hogy valódi Facebook bejelentkezési oldalt keres-e, mielőtt újból megadná hitelesítő adatait.

Válasz

A Facebook ma adatszivárgásról számolt be, és elővigyázatosságból nagyszámú fiókot kényszerült kijelentkezni. Forrás: NY Times és Facebook .

Ez az NYT-cikk szerint “A vállalat több mint 90 millió felhasználót kényszerített kijelentkezésre péntek kora elején, ez egy általános biztonsági intézkedés, amelyet akkor hoztak, amikor a számlákat veszélyeztették.”

További cikk a The Hacker News-tól – ” ismeretlen hacker vagy hackerek egy csoportja nulla napos biztonsági rést használt ki közösségi média platform, amely lehetővé tette számukra, hogy több mint 50 millió fiók titkos hozzáférési tokenjeit lophassák “ és ” a Facebook már elővigyázatosságból visszaállította a hozzáférési tokeneket közel 50 millió érintett Facebook-fiókhoz és további 40 millió fiókhoz. “

megjegyzések

  • Éppúgy érintett voltam, mint az OP. De ‘ s meglehetősen kényelmetlen, hogy visszavonták az összes tokent ÉS eltávolították az információkat a ból, amikor ‘ újra bejelentkezett , így ‘ nem látja, hogy valaki hozzáférett-e az adatainkhoz …
  • @ThibaultD. ez csak nagyon kényelmes lehet számára.

Válasz

Van esély arra, hogy valaki sikeresen bekerülhessen a fiókomba? Ha igen, n hogyan kerülhetnék meg a kétfaktoros hitelesítést?

Ha a fiókodban volt 2fa, akkor nem valószínű, hogy egy támadó használhatja ezt a kihasználást a belépéshez . De sok Facebook-felhasználó nem használ kétfaktoros hitelesítést.

Ez az eset normális, vagy biztonsági intézkedéseket kell tennem?

A művelet már megtörtént az Ön számára. Bármelyik régi token már nem érvényes, nem Önre és támadóra sem. Ezért hirtelen nem tudott hozzáférni Facebook anélkül, hogy újra bejelentkezne. Ugyanez vonatkozik arra, aki esetleg egy tokent akart volna kiaknázni, amely lehetővé tette számukra, hogy hamisítsák, mint te – nekik is újra kellene hitelesíteniük. A Facebook egyik nyilatkozata sem utal arra, hogy képesek lennének hitelesíteni Önt ennek a bizonyos kihasználásnak vagy sebezhetőségnek az eredményeként. Azt sem teljesen világossá teszik, hogy a Facebook nem csupán a tokenek visszaállítását tette – ha csak ennyit tettek volna, akkor a támadóknak csak annyit kellene tenniük, hogy újra kezdjenek zsetonokat gyűjteni. Feltételezem, hogy a Facebook javította a biztonsági rést a ugyanakkor, hogy az ellopott tokenek a jövőben ne legyenek visszaélhetők.

Megjegyzések

  • A zsetonokat ismét gyűjtő támadókkal kapcsolatban a Facebook letiltotta a funkció (” Megtekintés ” néven), amely a szivárgást okozta. Forrás: ‘ a vállalat [ Facebook ] felfüggesztette a ” Megtekintés ” funkciót, miközben ellenőrzi annak biztonságát. ‘
  • Ugyanez a cikk azt is mondja, hogy ” Ez a három külön hibából álló biztonsági rés lehetővé tette a hackerek számára, hogy hozzáférési tokeneket kapjanak – digitális kulcsokat, amelyek lehetővé teszik az emberek számára, hogy bejelentkezve maradjanak a szolgáltatásban anélkül, hogy újra meg kellene adniuk a jelszavukat – amelyek felhasználhatók más emberek irányítására ‘ s fiókok. ” ami ellentmondani látszik az Ön által elmondottaknak.
  • Ez a válasz helytelen . Maga Mark Zuckerberg közzétett egy nyilatkozatot, amelyben azt mondta: ” rájöttünk, hogy egy támadó technikai sebezhetőséget használt ki lopás céljából hozzáférési tokenek, amelyek lehetővé teszik számukra, hogy körülbelül 50 millió ember bejelentkezzenek ‘ s fiókokba ” . Azt is kijelenti, hogy a hibát javították, és a biztonsági rés kihasználására használt útvonalat (” Megtekintés másként “) ideiglenesen letiltották, amíg azok tekintse át.
  • @Herohtar – Zuckerberg ‘ nyilatkozata kísérlet arra, hogy az ellopott munkamenet-sütiket a laikusok számára azonnal világos módon magyarázza. ‘ nagyon gyakori, hogy az ilyen állítások nyilvánvalóan helytelenek azok számára, akik már jártasak a témában. Ebben az esetben a válasz helyes, és Zuck ‘ állítása technikailag helytelen (de elég szoros és elég egyszerűsített, hogy hasznos legyen a nem szakemberek számára) .
  • @DaveSherohman Nem, a válasz határozottan téves; Zuckerberget idéztem a leghitelesebbnek, de számos más cikk is található a tech webhelyek részéről, amelyek valójában a Facebook csapat embereivel beszéltek, és mindannyian azt mondják, hogy ez lehetővé teszi a bejelentkezést. Ezenkívül hitelesítési tokenek voltak ellopva, nem munkamenet-sütik, és pontosan ezek engedélyezik a bejelentkezést (bár a munkamenet-cookie-k is). Végül kifejezetten kijelentették, hogy engedélyezte a hozzáférést a Facebook bejelentkezést használó fiókokhoz – Instagram, Twitter stb. Ezeket a fiókokat egyáltalán nem érinti, ha az ellopott információk nem ‘ nem engedélyezi a bejelentkezést.

Válasz

Ez a kérdés nagyszerű lehetőség arra, hogy rámutasson, hogy az FB rosszul bontotta ennek kezelését. Váratlan bejelentkezés és újbóli bejelentkezés kérése úgy néz ki, mint az adathalászat , és a felhasználóknak ilyennek kell kezelniük.

A munkamenet-tokenek érvénytelenítése után a Facebook-nak az érvényteleneket nem a fő bejelentkezési oldalra kellett volna irányítania, hanem egy olyan oldalra, amely elmagyarázza a jogsértést, és arra kéri a felhasználót, hogy kattintson a kijelentkezésre, majd manuálisan írja be a facebook.com parancsot a böngésző helysávjába, és jelentkezzen be újra.

Megjegyzések

  • 50 millió ember próbál beírni ” facebook.com ” valószínűleg nedves álom elírások.
  • A hozzászólások nem bővebb megbeszélések; ez a beszélgetés csevegésbe került .

Válasz

Ez egy óvintézkedés volt, amelyet a Facebook kezdeményezett.

Ez egy nagyon fontos szempontra emlékeztet minket.

A Facebook egy hirdetőtábla. Ne tegyen olyan hirdetőtáblára olyan dolgokat, amelyeket nem akar, hogy az emberek láthassák.

Ne feledje, és sok „biztonsági” aggály megszűnik. Nem mindegyik, de nagyon sok.

Megjegyzések

  • Az adatvédelem messze nem az egyetlen kérdés, amely a biztonságot érinti. Nem ‘ nem akarom, hogy bárki is megszemélyesítsen engem, függetlenül attól, hogy például milyen adatokhoz férhet hozzá.
  • Ezenkívül az emberek a facebook segítségével sok más másba is bejelentkeznek. webhelyek …
  • ‘ valószínűleg ajánlatos, hogy ne is használjon hirdetőtáblát jelszókezelőként.
  • Hogyan beszél több emberrel az emberek egyénileg és magánként összehasonlítják a dolgokat a hirdetőtáblán? A Facebook nem csupán pusztán a nyilvános falra való közzététel.

Válasz

Van esély arra, hogy valaki sikeresen bekerülhessen a fiókomba? Ha igen, akkor hogyan tudnák megkerülni a kétfaktoros hitelesítést?

Igen. Kihasználtak egy hibát a Facebook kódjában. Amit látni tudtak – senki sem tudja. Csak azt tudjuk, amit a Facebook jelentett, de bízik abban, hogy az összes információt közli ezzel a céggel?

Ez az eset normális, vagy biztonsági intézkedéseket kell tennem?

Fontolja meg a fiók törlését olyan webhelyekről, amelyek nem védik a Megfelelően mérlegelnie kell az ezen a webhelyen való tartózkodás előnyeit az újabb jogsértések kockázatával és a vállalatnak küldött adatok érzékenységével és mindent, amit ebből kitalálhatnak . Ez magában foglalhatja szexuális irányultságát, partnereit, ügyeit, pénzügyi helyzetét, privát csevegési üzeneteit …

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük