Jakiś czas temu otwierałem aplikację Facebook na Androida i wtedy otrzymałem komunikat „Sesja wygasła. Zaloguj się ponownie.”. Następnie spróbowałem zalogować się przy użyciu mojego obecnego hasła i udało mi się zalogować na konto. Wcześniej, dawno temu, kiedy tworzyłem to konto, skonfigurowałem uwierzytelnianie dwuskładnikowe dla mojego konta, a kiedy sprawdziłem po zalogowaniu się, było ono nadal aktywne.
Po tym, Otworzyłem laptopa, a następnie Chrome przeszedłem na Facebooka, aby dowiedzieć się, że sesja na PC również została wylogowana. Po ponownym zalogowaniu przeszedłem do zabezpieczeń w ustawieniach i sprawdziłem sekcję „Kiedy się ponownie zalogowałem” i Widziałem, że wszystkie poprzednie zalogowane wpisy zniknęły. Jedyne wpisy, które otrzymałem, dotyczyły logowania na telefonie i laptopie (również wydawało się, że są to moje zaufane urządzenia).
Myślałem, że ktoś próbował (i udało się?) Uzyskać dostęp do mojego konta, a następnie wylogowany ze wszystkich bieżących sesji. Jednak na moim telefonie nie pojawił się żaden podejrzany monit o uwierzytelnienie nietypowego logowania (np. „Czy właśnie zalogowałeś się w pobliżu lokalizacji xxxxx?”), Ani też żadnego e-maila z ostrzeżeniem z mojej zarejestrowanej wiadomości e-mail informującej mnie o dostępie do mojego konta na nierozpoznana przeglądarka lub komputer.
Tl; dr: Konto na Facebooku zostało nagle wylogowane ze wszystkich urządzeń, hasło nie zostało zmienione, zalogowane wpisy zniknęły, nie e-mail z ostrzeżeniem o włamaniu na konto, nie pojawił się żaden monit o uwierzytelnianie dwuskładnikowe.
Moje pytania to:
-
Czy są szanse, że komuś udało się pomyślnie dostać na moje konto? Jeśli tak, to w jaki sposób mogą ominąć uwierzytelnianie dwuskładnikowe?
-
Czy ten incydent jest normalny, czy powinienem podjąć działania zabezpieczające?
Dziękuję!
Komentarze
- Której metody 2FA używasz? Nie ' nie pamiętam, jakie metody oferuje Facebook, ale SMS-y są słabe, ponieważ ktoś może podszywać się pod Ciebie i łatwo uzyskać kartę SIM z Twoim numerem, otrzymując w ten sposób SMS zamiast Ciebie (zdarzyło się to kilka razy . Pojawił się seryjny podszywacz, który skierował reklamy do wielkich twórców YouTube i usunął ich kanały. Zrobił to wielu twórcom). Jednak w takim przypadku Twoja karta SIM nie powinna teraz ' działać. Inne typy 2FA byłyby trudniejsze do złamania bez uzyskania dostępu do zaufanego urządzenia. Może sesje właśnie wygasły.
- Używam zarówno SMS-ów, jak i generatora kodów z aplikacji Facebook na Androida. Co do wiadomości SMS, moja karta SIM nadal działa poprawnie. W przypadku generatora kodu właściwie nie ' nie muszę otwierać aplikacji Facebooka, aby uzyskać kod OTP. Na pasku powiadomień przesuwania w dół pojawi się monit. Mogę kliknąć ” Tak „, aby zweryfikować moje logowanie, lub ” Nie ” w przypadku podejrzanych działań. Po kliknięciu ” Tak ” przeglądarka automatycznie przekieruje mnie do aktualności.
- Wierzę, że powinien usunąć SMS-y. Tak naprawdę nie dodają żadnych zabezpieczeń, a faktycznie znacznie je zmniejszają (jak powiedziałem: ' łatwo jest przekonać kogoś w sklepie z kartą SIM, aby dał ci kartę SIM istniejący numer. Więc w zasadzie sprawia, że twoje hasło jest bezużyteczne). AFAIK z tego, co powiedziałeś, nie ' nie sądzę w tej sprawie nic podejrzanego, może utworzyłeś sesje na wszystkich swoich urządzeniach prawie w tym samym czasie i wszystkie wygasły w krótkim czasie .
- Zostałem wylogowany na wszystkich urządzeniach, ale także dwukrotnie na tym samym urządzeniu po ponownym zalogowaniu się po pierwszym wylogowaniu.
- +1 za zauważenie, że zostałeś poproszony o zaloguj się nieoczekiwanie. Dobrą praktyką w zakresie bezpieczeństwa jest zauważenie, że środek bezpieczeństwa (taki jak uwierzytelnianie) jest nieoczekiwanie wymagany. Mamy nadzieję, że przed ponownym wprowadzeniem danych uwierzytelniających potwierdziłeś również, że patrzysz na prawdziwą stronę logowania na Facebooku.
Odpowiedź
Facebook zgłosił dzisiaj wyciek danych i zmusił dużą liczbę kont do wylogowania się na wszelki wypadek. Źródło: NY Times i Facebook .
Ten artykuł NYT mówi „Firma zmusiła ponad 90 milionów użytkowników do wylogowania się we wczesny piątek, co jest powszechnym środkiem bezpieczeństwa stosowanym w przypadku włamania na konta.”
Dodatkowy artykuł z The Hacker News – „ nieznany haker lub grupa hakerów wykorzystała lukę zero-day w swoim platforma mediów społecznościowych, która pozwoliła im ukraść tajne tokeny dostępu do ponad 50 milionów kont ” i „ Facebook zresetował już tokeny dostępu dla prawie 50 milionów kont na Facebooku, których dotyczy problem, oraz dodatkowych 40 milionów kont, jako środek ostrożności „
Komentarze
- Dotknęło mnie to tak samo jak OP. Ale ' jest raczej niewygodne, ponieważ unieważniali wszystkie tokeny ORAZ usunęli informacje z Kiedy ' jesteś zalogowany , więc możemy ' nie sprawdzam, czy ktoś uzyskał dostęp do naszych danych …
- @ThibaultD. To może być dla niego po prostu bardzo wygodne.
Odpowiedź
Czy są szanse, że komuś udało się dostać na moje konto? Jeśli tak, n jak mogli ominąć uwierzytelnianie dwuskładnikowe?
Jeśli Twoje konto miało 2fa, wydaje się mało prawdopodobne, aby osoba atakująca mogła wykorzystać tego exploita, aby się do niego dostać . Jednak wielu użytkowników Facebooka nie korzysta z uwierzytelniania dwuskładnikowego.
Czy ten incydent jest normalny, czy powinienem podjąć działania zabezpieczające?
Akcja została już podjęta. Żaden stary token, który posiadałeś, nie jest już ważny, nie dla ciebie ani dla atakującego. Dlatego nagle nie możesz uzyskać dostępu Facebook bez ponownego logowania. To samo dotyczy każdego, kto chciałby wykorzystać token, który pozwoliłby im podszywać się tak samo jak Ty – oni również musieliby ponownie uwierzytelnić się. Żadne z oświadczeń Facebooka nie sugeruje, że „jest on w stanie uwierzytelnić się jako Ty w wyniku tego konkretnego exploita lub luki w zabezpieczeniach”. Nie wyjaśniają też całkowicie, że Facebook zrobił coś więcej niż tylko zresetowanie tokenów – gdyby to było wszystko, co robili, atakujący musieliby tylko zacząć ponownie zbierać tokeny. Zakładam, że Facebook załatał lukę w w tym samym czasie, aby skradzione tokeny nie mogły być ponownie nadużywane w przyszłości.
Komentarze
- Jeśli chodzi o osoby atakujące zbierające tokeny, Facebook wyłączył funkcja (” Wyświetl jako „), która spowodowała wyciek. Źródło: ' firma [ Facebook ] zawiesił funkcję ” Wyświetl jako ” podczas sprawdzania jej zabezpieczeń. '
- W tym samym artykule jest również napisane ” Ta luka, która składała się z trzech oddzielnych błędów, umożliwiła również hakerom uzyskanie tokenów dostępu – kluczy cyfrowych, które pozwalają ludziom pozostać zalogowanymi do usługi bez konieczności ponownego wprowadzania hasła – które można wykorzystać do kontrolowania innych osób Konta '. ” , co wydaje się być sprzeczne z tym, co powiedziałeś.
- Ta odpowiedź jest nieprawidłowa . Sam Mark Zuckerberg opublikował oświadczenie, w którym ” odkryliśmy, że osoba atakująca wykorzystała lukę techniczną w celu kradzieży tokeny dostępu, które pozwoliłyby im zalogować się na około 50 milionów osób ' ” . Twierdzi również, że problem został załatany, a trasa wykorzystana do wykorzystania luki (” Wyświetl jako „) została tymczasowo wyłączona, gdy przejrzyj to.
- @Herohtar – Zuckerberg ' oświadczenie jest próbą wyjaśnienia skradzionych plików cookie sesji w sposób, który jest natychmiast zrozumiały dla laika. ' bardzo często zdarza się, że takie stwierdzenia są ewidentnie niepoprawne dla tych, którzy są już dobrze zorientowani w temacie. W tym przypadku jest to poprawna odpowiedź, a stwierdzenie Zucka ' jest technicznie niepoprawne (ale wystarczająco bliskie i wystarczająco uproszczone, aby było przydatne dla niespecjalistów) .
- @DaveSherohman Nie, odpowiedź jest zdecydowanie błędna; Zacytowałem Zuckerberga jako najbardziej autorytatywnego, ale jest wiele innych artykułów serwisów technicznych, które faktycznie rozmawiały z ludźmi z zespołu Facebooka i wszyscy mówią, że zezwalają na logowanie. Ponadto, to tokeny uwierzytelniające zostały skradzione, a nie pliki cookie sesji, i to właśnie one umożliwiają logowanie (chociaż pliki cookie sesji również mogą). Wreszcie, wyraźnie stwierdzili, że umożliwia dostęp do kont, które korzystały z logowania na Facebooku – Instagram, Twitter itp. Te konta nie byłyby w ogóle ' naruszone, gdyby skradzione informacje nie ' t zezwalaj na logowanie.
Odpowiedź
To pytanie to doskonała okazja, aby zwrócić uwagę, że FB źle nieudane sposób obsługi tego. Niespodziewane wylogowanie z prośbą o ponowne zalogowanie wygląda jak phishing i powinno być tak traktowane przez użytkowników.
Po unieważnieniu tokenów sesji Facebook powinien przekierować nieprawidłowe tokeny nie do głównej strony logowania, ale do strony wyjaśniającej naruszenie i proszącej użytkownika o kliknięcie wylogowania, a następnie ręcznie wpisz facebook.com
na pasku adresu przeglądarki i zaloguj się ponownie.
Komentarze
- 50 milionów ludzi próbujących pisać ” facebook.com ” to prawdopodobnie mokry sen typosquatters.
- Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została przeniesiona do czatu .
Odpowiedź
To był środek zapobiegawczy, zainicjowany przez Facebooka.
Przypomina nam to o bardzo ważnym punkcie.
Facebook to tablica ogłoszeń. Nie umieszczaj na tablicy ogłoszeń rzeczy, których nie chcesz, aby ludzie widzieli.
Pamiętaj o tym, a wiele obaw o „bezpieczeństwo” zniknie. Nie wszystkie, ale bardzo dużo.
Komentarze
- Prywatność nie jest jedyną kwestią związaną z bezpieczeństwem. Nie ' Nie chcę, aby ktokolwiek podszywał się pod mnie, na przykład niezależnie od tego, do jakich danych ma dostęp.
- Ponadto ludzie używają Facebooka do logowania się na wiele innych witryn …
- ' prawdopodobnie nie zaleca się również używania tablicy ogłoszeń jako menedżera haseł.
- Jak rozmawia się z wieloma ludzie indywidualnie i prywatnie porównują się do umieszczania rzeczy na tablicy ogłoszeń? Facebook to coś więcej niż tylko publikowanie rzeczy na Twojej publicznej tablicy.
Odpowiedź
Czy są szanse, że komuś udało się pomyślnie dostać na moje konto? Jeśli tak, to w jaki sposób mogą ominąć uwierzytelnianie dwuskładnikowe?
Tak. Wykorzystali błąd w kodzie Facebooka. Co udało im się zobaczyć – nikt nie wie. Wiemy tylko, co zgłosił Facebook, ale czy ufasz tej firmie, że ujawni wszystkie informacje?
Czy ten incydent jest normalny, czy powinienem podjąć działania zabezpieczające?
Należy rozważyć usunięcie konta z witryn, które nie zabezpieczają danych. Będziesz musiał rozważyć korzyści płynące z przebywania na tej stronie w porównaniu z ryzykiem kolejnego naruszenia oraz wrażliwością danych, które przesyłasz tej firmie, i wszystko, co mogą na ich podstawie odgadnąć . Może to dotyczyć Twojej orientacji seksualnej, partnerów, romansów, sytuacji finansowej, prywatnych wiadomości na czacie …