For en stund siden åpnet jeg Facebook-appen på Android, og da fikk jeg meldingen «Session utløpt. Vennligst logg inn igjen.». Jeg prøvde deretter å logge inn med mitt nåværende passord og lykkes med å logge inn kontoen min. Før, for lenge siden, da jeg opprettet denne kontoen, satte jeg opp tofaktorautentisering for kontoen min, og da jeg sjekket etter at jeg hadde logget inn, var den fortsatt aktiv.
Etter det, Jeg åpnet den bærbare datamaskinen min, og Chrome gikk deretter til Facebook, bare for å finne ut at økten på PC også var logget ut. Etter at jeg logget inn igjen, gikk jeg til sikkerhet under innstillinger og sjekket avsnittet «Når du er logget inn» og Jeg så at alle de tidligere innloggede oppføringene er borte. De eneste oppføringene jeg fikk var de som logget på telefonen og den bærbare datamaskinen min (også så ut til å være mine pålitelige enheter).
Jeg tenkte på at noen hadde prøvd (og lyktes?) Å få tilgang til kontoen min, da logget av alle gjeldende økter. Imidlertid fikk jeg ingen mistenkelige spørsmål på telefonen min om å godkjenne en uvanlig pålogging (som «Har du nettopp logget inn i nærheten av sted xxxxx?»), Heller ingen advarsel-e-post fra den registrerte e-postmeldingen min om at kontoen min ble brukt ukjent nettleser eller datamaskin.
Tl; dr: Facebook-konto ble plutselig logget av alle enheter, passord ble ikke endret, påloggede oppføringer er borte, nei e-postvarsel om at kontoen er kompromittert, ingen tofaktors autentiseringsmelding dukket opp.
Mine spørsmål er:
-
Er det noen sjanser for at noen lykkes med å komme inn på kontoen min? Hvis ja, hvordan kan de omgå tofaktorautentiseringen?
-
Er den hendelsen normal, eller bør jeg ta sikkerhetstiltak?
Takk!
Kommentarer
- Hvilken 2FA-metode bruker du? Jeg husker ikke ‘ hvilke metoder Facebook gir, men SMS er svake fordi noen kan utgi deg for å få og få et SIM-kort med nummeret ditt, og dermed motta SMS i stedet for deg (skjedde flere ganger . Det var en seriell upersonifiserende person som målrettet store youtube-skapere og slettet kanalene deres. De gjorde dette mot flere skapere). Men hvis dette var tilfelle, burde ikke SIM-kortet ditt ‘ fungere akkurat nå. Andre typer 2FA ville være vanskeligere å bryte uten å få tilgang til den pålitelige enheten. Kanskje øktene bare gikk ut.
- Jeg bruker både SMS og kodegeneratoren fra Facebook for Android-appen. Om SMS-en fungerer SIM-kortet mitt fortsatt bra. For kodegeneratoren trenger jeg faktisk ikke ‘ å åpne Facebook-appen for å få OTP-koden. Det kommer en melding i sveip ned-varslingslinjen, jeg kan klikke » Ja » for å bekrefte påloggingen min, eller » Nei » i tilfelle mistenkelige aktiviteter. Etter at jeg har klikket » Ja «, vil nettleseren omdirigere meg automatisk til nyhetsstrømmen.
- Jeg tror deg skal fjerne SMS. De legger ikke til noen sikkerhet og faktisk reduserer de det mye (som sagt: det ‘ er ganske enkelt å overbevise noen i en SIM-butikk om å gi deg et SIM-kort for en eksisterende nummer. Så i utgangspunktet gjør det passordet ditt ubrukelig). AFAIK fra det du fortalte at jeg ikke ‘ ikke tenker noe fishy om dette, kanskje du opprettet øktene på alle enhetene dine nesten samtidig, og de utløp alle på kort tid .
- Jeg var logget av på alle enhetene, men også i samme enhet to ganger etter at jeg hadde logget på igjen etter første utlogging.
- +1 for å legge merke til at du ble bedt om å logg inn uventet. Det er en god sikkerhetspraksis å legge merke til når et sikkerhetstiltak (for eksempel godkjenning) kreves uventet. Forhåpentligvis bekreftet du også at du så på en ekte Facebook-påloggingsside før du skrev inn påloggingsinformasjonen på nytt.
Svar
Facebook rapporterte om en datalekkasje i dag og tvang et stort antall kontoer til å logge av som en forholdsregel. Kilde: NY Times og Facebook .
Den NYT-artikkelen sier «Selskapet tvang mer enn 90 millioner brukere til å logge av tidlig fredag, et vanlig sikkerhetstiltak som ble tatt når kontoer er kompromittert.»
Tilleggsartikkel fra The Hacker News – » ukjent hacker eller en gruppe hackere utnyttet en null-dagers sårbarhet i sin sosial medieplattform som tillot dem å stjele hemmelige tilgangstokener for mer enn 50 millioner kontoer « og » Facebook har allerede tilbakestilt tilgangstokener for nesten 50 millioner berørte Facebook-kontoer og ytterligere 40 millioner kontoer, som en forholdsregel «
Kommentarer
- Jeg ble berørt akkurat slik OP var. Men det ‘ er ganske upraktisk at de tilbakekalte alle tokens OG fjernet informasjon fra Når du ‘ er pålogget slik at vi kan ‘ t se om noen har tilgang til dataene våre …
- @ThibaultD. det kan bare være veldig praktisk for dem.
Svar
Er det noen sjanser for at noen lykkes med å komme inn på kontoen min? Hvis ja, vil n hvordan kunne de omgå tofaktorautentiseringen?
Hvis kontoen din hadde 2fa, virker det lite sannsynlig at en angriper kan bruke denne utnyttelsen til å komme inn i den . Men mange Facebook-brukere bruker ikke 2-faktor-autentisering.
Er den hendelsen normal, eller bør jeg ta sikkerhetstiltak?
Det er allerede gjort noe for deg. Ethvert gammelt token du hadde er ikke lenger gyldig, ikke for deg og heller ikke for en angriper. Derfor fikk du plutselig ikke tilgang Facebook uten å logge på igjen. Det samme gjelder alle som kanskje hadde ønsket å utnytte et token som lar dem spoofe som deg – de må også autentisere på nytt. Ingen av Facebooks uttalelser antyder at de «kan autentisere deg som et resultat av denne utnyttelsen eller sårbarheten. De gjør det ikke helt klart at Facebook gjorde mer enn bare å nullstille tokens – hvis det var alt de gjorde, ville alle angriperne være å begynne å samle tokens igjen. Jeg antar at Facebook lapp sårbarheten på samme tid slik at stjålne tokens ikke kan misbrukes i fremtiden.
Kommentarer
- Når det gjelder angriperne som samler inn tokens igjen, har Facebook deaktivert funksjon (» Vis som «) som forårsaket lekkasjen. Kilde: ‘ selskapet [ Facebook ] suspenderte » Vis som » -funksjonen mens den vurderer sikkerheten. ‘
- Den samme artikkelen sier også » Dette sårbarheten, som besto av tre separate feil, tillot også hackerne å få tilgangstokener – digitale nøkler som lar folk holde seg logget inn i tjenesten uten å måtte oppgi passordet på nytt – som kan brukes til å kontrollere andre mennesker ‘ s kontoer. » som ser ut til å være i strid med det du sa.
- Dette svaret er feil . Mark Zuckerberg selv la ut en uttalelse som sa, » vi oppdaget at en angriper utnyttet en teknisk sårbarhet for å stjele tilgangstokener som tillater dem å logge på omtrent 50 millioner mennesker ‘ s kontoer » . Han uttaler også at problemet ble lappet og at ruten som ble brukt til å utnytte sårbarheten (» Vis som «) er midlertidig deaktivert mens de gjennomgå det.
- @Herohtar – Zuckerberg ‘ s uttalelse er et forsøk på å forklare stjålne øktcookies på en måte som umiddelbart er tydelig for lekmannen. Det ‘ er veldig vanlig at slike utsagn er åpenbart uriktige for de som allerede er kjent med emnet. I dette tilfellet er det svaret som er riktig og Zuck ‘ s uttalelse som er teknisk feil (men nær nok, og forenklet nok til å være nyttig for ikke-spesialiserte publikum) .
- @DaveSherohman Nei, svaret er definitivt feil; Jeg siterte Zuckerberg som mest autoritativ, men det er flere andre artikler fra tekniske nettsteder som faktisk snakket med folk fra Facebook-teamet, og de sier alle at det tillot pålogginger. Det var også autentiseringstokener som ble stjålet, ikke øktcookies, og det er akkurat det som tillater pålogginger (selv om øktcookies også kan). Til slutt uttalte de spesifikt at det tillot tilgang til kontoer som hadde brukt Facebook-pålogging – Instagram, Twitter, etc. Disse kontoene ville ‘ ikke bli påvirket i det hele tatt hvis den stjålne informasjonen ikke ‘ t tillater pålogginger.
Svar
Dette spørsmålet er en flott mulighet til å påpeke at FB dårlige feil håndteringen av dette. Å være uventet logget ut og bedt om å logge på igjen ser ut som phishing , og det bør behandles slik av brukere.
Etter ugyldiggjøring av økttegn, burde Facebook ha fått de ugyldige til å omdirigere ikke til hovedinnloggingssiden, men til en side som forklarte bruddet og ba brukeren klikke på avlogging, deretter manuelt skriv facebook.com
i posisjonslinjen i nettleseren og logg inn på nytt.
Kommentarer
- 50 millioner mennesker som prøver å skrive » facebook.com » er en sannsynligvis en våt drøm for skrivefeil.
- Kommentarer er ikke til utvidet diskusjon; denne samtalen er flyttet til chat .
Svar
Dette var et føre-var-tiltak, igangsatt av Facebook.
Det minner oss om et veldig viktig poeng.
Facebook er et oppslagstavle. Ikke legg ting på et oppslagstavle som du ikke vil at folk skal se.
Husk det, og mange av «sikkerhetsproblemene» forsvinner. Ikke alle av dem, men mange av dem.
Kommentarer
- Personvern er langt fra det eneste problemet med sikkerhet. Jeg vil ikke ‘ ikke at noen skal utgi seg for meg uavhengig av hvilke data de kan få tilgang til, for eksempel.
- Videre bruker folk facebook for å logge på en rekke andre nettsteder …
- Det ‘ er sannsynligvis tilrådelig å ikke bruke et oppslagstavle som passordbehandling heller.
- Hvordan snakker man til flere sammenligner folk hver for seg og privat med å legge ut ting på et oppslagstavle? Facebook er mer enn bare å legge ut ting på den offentlige veggen din.
Svar
Er det noen sjanser for at noen lykkes med å komme inn på kontoen min? Hvis ja, hvordan kunne de omgå tofaktorautentiseringen?
Ja. De utnyttet en feil i Facebook-koden. Det de kunne se – ingen vet. Vi vet bare hva Facebook rapporterte, men stoler du på at dette selskapet vil avsløre all informasjon?
Er den hendelsen normal, eller bør jeg ta sikkerhetstiltak?
Du bør vurdere å slette kontoen din fra nettsteder som ikke beskytter din data godt nok. Du må avveie fordelene ved å være på dette nettstedet kontra risikoen for et nytt brudd og følsomheten til dataene du sender dette selskapet og alt de kan gjette på grunn av det . Dette kan omfatte din seksuelle legning, dine partnere, forhold, økonomiske situasjoner, private chatmeldinger …