Um tempo atrás, estava abrindo o aplicativo do Facebook no Android e recebi a mensagem “Sessão expirada. Faça login novamente.”. Em seguida, tentei fazer login com minha senha atual e consegui fazer login em minha conta. Antes, muito tempo atrás, quando criei esta conta, eu configurei a autenticação de dois fatores para minha conta e quando verifiquei depois de fazer o login, ela ainda estava ativa.
Depois disso, Abri meu laptop e o Chrome, em seguida, fui para o Facebook, apenas para descobrir que a sessão no PC também foi desconectada. Depois de fazer login novamente, fui para segurança nas configurações e verifiquei a seção “Quando você” está conectado Eu vi que todas as entradas anteriores conectadas sumiram. As únicas entradas que recebi foram aquelas de login no meu telefone e no meu laptop (também pareciam ser meus dispositivos confiáveis).
Eu estava pensando em alguém que tentou (e conseguiu?) Acessar minha conta, então desconectado de todas as sessões atuais. No entanto, não recebi nenhum aviso suspeito no meu telefone para autenticar um login incomum (como “Você acabou de fazer login próximo ao local xxxxx?”), Também nenhum e-mail de aviso do meu e-mail registrado informando sobre o acesso à minha conta em um navegador ou computador não reconhecido.
Tl; dr: A conta do Facebook foi desconectada repentinamente de todos os dispositivos, a senha não foi alterada, as entradas de login desapareceram, não aviso por e-mail sobre o comprometimento da conta, nenhum prompt de autenticação de dois fatores foi exibido.
Minhas perguntas são:
-
Há alguma chance de alguém conseguir entrar em minha conta? Se sim, como eles poderiam ignorar a autenticação de dois fatores?
-
Esse incidente é normal ou eu devo tomar medidas de segurança?
Obrigado!
Comentários
- Qual método 2FA você usa? Não ‘ não me lembro quais métodos o Facebook oferece, mas SMS são fracos porque alguém pode se passar por você e obter um SIM com seu número facilmente, recebendo assim o SMS em vez de você (aconteceu várias vezes . Havia um personificador em série que visava grandes criadores do YouTube e excluía seus canais. Eles fizeram isso com vários criadores. No entanto, se fosse esse o caso, seu SIM não deveria ‘ estar funcionando agora. Outros tipos de 2FA seriam mais difíceis de quebrar sem obter acesso ao dispositivo confiável. Talvez as sessões tenham acabado de expirar.
- Eu uso SMS e o Gerador de código do aplicativo Facebook para Android. Sobre o SMS, meu SIM ainda está funcionando bem. Para o gerador de código, eu realmente não ‘ não preciso abrir o aplicativo do Facebook para obter o código OTP. Haverá um prompt na barra de notificação deslizante para baixo, posso clicar em ” Sim ” para verificar meu login ou ” Não ” em caso de atividades suspeitas. Depois de clicar em ” Sim “, o navegador me redirecionará automaticamente para o Feed de notícias.
- Acredito em você deve remover SMS. Na verdade, eles não adicionam nenhuma segurança e, na verdade, a reduzem muito (como eu disse: é ‘ muito fácil convencer alguém em uma loja de SIM a lhe dar um SIM para um número existente. Basicamente, ele torna sua senha inútil). AFAIK, pelo que você disse, eu não ‘ não acho nada estranho sobre isso, talvez você tenha criado as sessões em todos os seus dispositivos quase ao mesmo tempo e todas expiraram em um curto período de tempo .
- Fui desconectado em todos os dispositivos, mas também no mesmo dispositivo duas vezes depois de fazer login novamente após o primeiro logout.
- +1 por notar que você foi solicitado a faça login inesperadamente. Notar quando uma medida de segurança (como autenticação) é exigida inesperadamente é uma boa prática de segurança. Felizmente, você também verificou que estava acessando uma página de login genuína do Facebook antes de inserir novamente suas credenciais.
Resposta
O Facebook relatou um vazamento de dados hoje e forçou um grande número de contas a fazer logoff por precaução. Fonte: NY Times e Facebook .
Esse artigo do NYT diz “A empresa forçou mais de 90 milhões de usuários a se desconectarem na sexta-feira, uma medida de segurança comum tomada quando contas são comprometidas.”
Artigo adicional do The Hacker News – ” hacker desconhecido ou um grupo de hackers explorou uma vulnerabilidade de dia zero em seu plataforma de mídia social que lhes permitiu roubar tokens de acesso secretos para mais de 50 milhões de contas “ e ” O Facebook já redefiniu tokens de acesso para quase 50 milhões de contas afetadas do Facebook e mais 40 milhões de contas, como precaução “
Comentários
- Fui afetado assim como o OP. Mas ‘ é bastante inconveniente que eles revogaram todos os tokens E removeram informações de Quando você ‘ fez login novamente para que possamos ‘ veja se alguém acessou nossos dados …
- @ThibaultD. isso pode ser muito conveniente para eles.
Resposta
Há alguma chance de alguém conseguir acessar minha conta? Em caso afirmativo, o n como eles poderiam ignorar a autenticação de dois fatores?
Se sua conta tinha 2fa, parece improvável que um invasor pudesse usar esse exploit para entrar nele . Mas muitos usuários do Facebook não usam autenticação de dois fatores.
Esse incidente é normal ou devo tomar medidas de segurança?
Uma ação já foi realizada para você. Qualquer token antigo que você tinha não é mais válido, nem para você, nem para um invasor. É por isso que de repente você não conseguiu acessar Facebook sem se conectar novamente. A mesma coisa vale para qualquer pessoa que quisesse explorar um token que permitisse falsificar como você – eles também teriam que se autenticar novamente. Nenhuma das declarações do Facebook sugere que eles são capazes de se autenticar como você como resultado dessa exploração ou vulnerabilidade em particular. Eles também não deixam totalmente claro que o Facebook fez mais do que apenas redefinir tokens – se isso fosse tudo o que eles fizessem, tudo o que os invasores teriam que fazer seria começar a coletar tokens novamente. Presumo que o Facebook corrigiu a vulnerabilidade no mesmo tempo para que tokens roubados não possam “ser abusados novamente no futuro.
Comentários
- Em relação aos invasores que coletam tokens novamente, o Facebook desativou o recurso (” Exibir como “) que causou o vazamento. Fonte: ‘ a empresa [ Facebook ] suspendeu o recurso ” Exibir como ” enquanto ele revisa sua segurança. ‘
- O mesmo artigo também diz ” Esta vulnerabilidade, que consistia em três bugs separados, também permitia que os hackers obtivessem tokens de acesso – chaves digitais que permitem que as pessoas permaneçam logadas no serviço sem ter que inserir suas senhas novamente – que podem ser usadas para controlar outras pessoas ‘ contas. ” o que parece contradizer o que você disse.
- Essa resposta está incorreta . O próprio Mark Zuckerberg postou uma declaração dizendo: ” descobrimos que um invasor explorou uma vulnerabilidade técnica para roubar tokens de acesso que lhes permitiriam fazer login cerca de 50 milhões de pessoas ‘ contas ” . Ele também afirma que o problema foi corrigido e a rota usada para explorar a vulnerabilidade (” Exibir como “) foi temporariamente desativada enquanto eles revise-o.
- @Herohtar – A declaração de Zuckerberg ‘ é uma tentativa de explicar os cookies de sessão roubados de uma forma que seja imediatamente clara para o leigo. É ‘ muito comum que tais afirmações sejam obviamente incorretas para aqueles que já são versados no assunto. Neste caso, é a resposta que está correta e a afirmação de Zuck ‘ s que é tecnicamente incorreta (mas próxima e simplificada o suficiente para ser útil ao público não especialista) .
- @DaveSherohman Não, a resposta está definitivamente errada; Citei Zuckerberg como sendo o mais autoritário, mas existem vários outros artigos de sites de tecnologia que realmente conversaram com pessoas da equipe do Facebook e todos dizem que permite logins. Além disso, foram os tokens de autenticação que foram roubados, não os cookies de sessão, e são exatamente isso que permite logins (embora os cookies de sessão também possam). Finalmente, eles declararam especificamente que permitia o acesso a contas que usaram o login do Facebook – Instagram, Twitter, etc. Essas contas não ‘ seriam afetadas se as informações roubadas não ‘ t permitir logins.
Resposta
Esta pergunta é uma ótima oportunidade de apontar que FB maltratou o manuseio disso. Ser desconectado inesperadamente e solicitado a fazer login novamente se parece com phishing e deve ser tratado como tal pelos usuários.
Depois de invalidar os tokens de sessão, o Facebook deveria ter feito os inválidos redirecionarem não para a página de login principal, mas para uma página explicando a violação e pedindo ao usuário para clicar em logout e manualmente digite facebook.com
na barra de localização do navegador e faça login novamente.
Comentários
- 50 milhões de pessoas tentando digitar ” facebook.com ” é provavelmente um sonho molhado para typosquatters.
- Os comentários não são para discussões extensas; esta conversa foi movida para o chat .
Resposta
Esta foi uma medida de precaução, instigada pelo Facebook.
Isso nos lembra um ponto muito importante.
O Facebook é um quadro de avisos. Não coloque coisas em um quadro de avisos que você não quer que as pessoas vejam.
Lembre-se disso, e muitas das preocupações de “segurança” desaparecerão. Nem todos, mas muitos deles.
Comentários
- A privacidade está longe de ser o único problema envolvido na segurança. Eu não ‘ não quero que ninguém se faça passar por mim, independentemente dos dados que possam acessar, por exemplo.
- Além disso, as pessoas usam o Facebook para fazer login em vários outros sites …
- É ‘ provavelmente aconselhável não usar um quadro de avisos como gerenciador de senhas.
- Como falar com vários as pessoas individualmente e em particular comparam-se a postar coisas em um quadro de avisos? O Facebook é mais do que apenas postar coisas em seu mural público.
Resposta
Existe alguma chance de alguém conseguir acessar minha conta? Se sim, como eles poderiam ignorar a autenticação de dois fatores?
Sim. Eles exploraram um bug no código do Facebook. O que eles conseguiram ver – ninguém sabe. Só sabemos o que o Facebook relatou, mas você confia que essa empresa divulgará todas as informações?
Esse incidente é normal ou devo tomar medidas de segurança?
Você deve considerar a exclusão de sua conta de sites que não protegem seu dados bem o suficiente. Você “terá que pesar os benefícios de estar neste site versus o risco de outra violação e a confidencialidade dos dados que você envia a esta empresa e tudo o que eles podem adivinhar disso . Isso pode incluir sua orientação sexual, seus parceiros, casos, situação financeira, mensagens de bate-papo privado …