Το χακάρισμα του Facebook την περασμένη εβδομάδα αποκάλυψε πως τουλάχιστον 50 εκατομμύρια λογαριασμοί έμειναν εκτεθειμένοι, αλλά ήταν πολύ χειρότερο τελικά, σημειώνει ο Guardian.
Την περασμένη Παρασκευή, το Facebook παραδέχτηκε πως μια ευπάθεια επέτρεψε στους επιτιθέμενους να κλέψουν τα αυτοματοποιημένα διαπιστευτήρια σύνδεσης (tokens).
Τα tokens διευκολύνουν τους χρήστες να συνδεθούν σε δημοφιλείς εφαρμογές και υπηρεσίες όπως το Spotify, το Pinterest ή το Yelp. Το ελάττωμα, το οποίο παρουσιάστηκε από τον Ιούλιο του 2017, ανακαλύφθηκε τον προηγούμενο μήνα, αφού οι μηχανικοί του Facebook διαπίστωσαν ασυνήθιστη δραστηριότητα σύνδεσης.
Ενώ το εύρος αυτής της επίθεσης εξακολουθεί να ανακαλύπτεται, ανεξάρτητοι ερευνητές λένε ότι η ζημιά θα μπορούσε να εκτείνεται πολύ πέρα από τα σύνορα του Facebook.
Ο Jason Polakis, επίκουρος καθηγητής της πληροφορικής στο Πανεπιστήμιο του Ιλινόις στο Σικάγο, λέει ότι η παραβίαση επηρεάζει περισσότερους τομείς από το Facebook, καθώς είναι πιθανό να δημιούργησε μια δίοδο σε χιλιάδες εφαρμογές και ιστότοπους τρίτων.
Με απλά λόγια, ένα token είναι μια μοναδική σειρά γραμμάτων και αριθμών που μπορούν να χρησιμοποιηθούν για να συνδεθείτε αυτόματα σε άλλες εφαρμογές και ιστότοπους, οπότε δεν χρειάζεται να εισάγετε τον κωδικό πρόσβασής σας.
Δυστυχώς, από την άποψη της ασφάλειας, η χρήση της Facebook ή οποιασδήποτε άλλης εφαρμογής social media για την είσοδο σε άλλες υπηρεσίες δεν είναι κάτι έξυπνο, λέει η Dana Simberkoff, επικεφαλής της επιχείρησης ασφάλειας επιχειρήσεων Avepoint.
Είναι εύκολο και βολικό, αλλά όταν χρησιμοποιείτε συντομεύσεις μπορεί να υπάρχουν συνέπειες, λέει. «Δεν πρέπει να χρησιμοποιείτε μια εφαρμογή για να συνδεθείτε σε άλλη, επειδή όταν ένα από αυτά τα συστήματα παραβιάζεται, όλα τα άλλα που αλληλεπιδράτε κινδυνεύουν».
Μόλις ένας επιτιθέμενος ανακαλύψει πώς να κλέψει τον κωδικό ασφαλείας ενός χρήστη, θα ήταν απλό να αυτοματοποιήσει τη διαδικασία για να θέσει σε κίνδυνο εκατομμύρια λογαριασμούς στο Facebook, καθώς και όλους τους λογαριασμούς τρίτων (όπως Spotify ή Pinterest) που βασίζονται στα tokens του Facebook.
Σε πρώτη φάση το Facebook απενεργοποίησε τους λογαριασμούς χρηστών στον ιστότοπό του και άλλαξε τα tokens για 90 εκατομμύρια χρήστες. Όταν οι χρήστες συνδεθούν ξανά, δημιουργείται ένα νέο διακριτικό ασφαλείας. Ενώ αυτό μπορεί να εμποδίσει τους μελλοντικούς επιτιθέμενους να κλέψουν τα διαπιστευτήρια σύνδεσης, δεν προσφέρει πολλά για να μετριάσει τυχόν παραβιάσεις που έχουν ήδη συμβεί.
Με άλλα λόγια, αν οι επιτιθέμενοι έχουν ήδη χρησιμοποιήσει τα διαπιστευτήριά σας στο Facebook, για να συνδεθούν σε μία από τις εφαρμογές σας, ενδέχεται να εξακολουθούν να τα χρησιμοποιούν, ανάλογα με τις ρυθμίσεις ασφαλείας της εφαρμογής, λέει ο Polakis.
«Σε πολλούς ιστότοπους, διαπιστώσαμε ότι οι εισβολείς θα μπορούσαν να κάνουν reset στο ηλεκτρονικό ταχυδρομείο του λογαριασμού και στη συνέχεια να ορίσουν έναν κωδικό πρόσβασης χωρίς να γνωρίζουν τον πραγματικό κωδικό πρόσβασης του λογαριασμού. Επομένως, ακόμη και αν η ενιαία σύνδεση δεν λειτουργεί πια και ο εισβολέας δεν έχει πια πρόσβαση σε αυτόν το λογαριασμό στο Facebook, θα μπορούσε να διατηρήσει ακόμα πρόσβαση στο λογαριασμό τρίτων».
Κατά τη δοκιμή αυτού του σεναρίου επίθεσης, ο καθηγητής και οι συνεργάτες του απέκτησαν πρόσβαση σε λογαριασμούς 29 δημοφιλών ιστότοπων και ήταν σε θέση να συνδεθούν σε 22 από αυτούς, ακόμη και μετά την απώλεια πρόσβασης στους λογαριασμούς Facebook.
Και γίνεται ακόμη χειρότερο... Ακόμη και αν δεν έχετε χρησιμοποιήσει ποτέ τη σύνδεση του Facebook για μια εφαρμογή ή έναν ιστότοπο, ένας εισβολέας θα μπορούσε ακόμα να χρησιμοποιήσει το διακριτικό για να συνδεθεί με τα δικά σας στοιχεία, υπό την προϋπόθεση ότι χρησιμοποιείτε την ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου και για τις δύο υπηρεσίες, λέει ο Polakis
Αλλά ακόμη και αν δεν έχετε ακόμα λογαριασμό σε αυτές τις υπηρεσίες, οι επιτιθέμενοι μπορούν να χρησιμοποιούν τα tokens για να δημιουργήσουν έναν στο όνομά σας, τον οποίο μπορούν να αφήσουν σε αδράνεια και να περιμένουν να συνδεθείτε τελικά, ώστε να μπορούν να κλέψουν τα προσωπικά σας στοιχεία.
Καθώς αυτή η ιστορία εξελίσσεται το Facebook δηλώνει ότι δεν βρήκε στοιχεία που να δείχνουν ότι οι εισβολείς είχαν πρόσβαση σε εφαρμογές που χρησιμοποιούν σύνδεση στο Facebook και ότι οι εφαρμογές που δημιουργήθηκαν χρησιμοποιώντας το επίσημο κιτ ανάπτυξης λογισμικού της εταιρείας (SDK) επαναφέρονται. Ωστόσο, οι εφαρμογές Facebook που δημιουργούνται χωρίς το SDK ενδέχεται να είναι ακόμα ευάλωτες.
Μια λύση είναι η αλλαγή των κωδικών πρόσβασης, ανάλογα με την εφαρμογή. Αν φοβάστε ότι έχετε ήδη πέσε θύμα παραβίασης, θα πρέπει επίσης να αναζητήσετε ασυνήθιστη δραστηριότητα σε αυτούς τους λογαριασμούς,.
Όλοι οι χρήστες μπορούν να πετύχουν καλύτερη χρήση εφαρμογών απενεργοποιώντας τις άδειες πρόσβασης που μπορούν να οριστούν από προεπιλογή και αφαιρώντας εφαρμογές που σπάνια χρησιμοποιούν, λένε οι ειδικοί.
Συνιστάται επίσης να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων, όταν είναι διαθέσιμος, ο οποίος ζητά έναν δεύτερο παράγοντα (όπως ένα PIN που αποστέλλεται με μήνυμα κειμένου) όταν το σύστημα ανιχνεύει συνδέσεις από άγνωστες συσκευές.
Μπορείτε να αποτρέψετε παρόμοιες επιθέσεις στο μέλλον απενεργοποιώντας τις αυτόματες συνδέσεις για το Facebook και οποιοδήποτε άλλο σύστημα ελέγχου ταυτότητας τρίτου μέρους, όπως το Google ή το Twitter.
Με άλλα λόγια, μην θυσιάζετε την ασφάλεια για ευκολία.
σχόλια