28 сентября 2018 года Facebook сообщил, что злоумышленникам удалось использовать уязвимость на сайте, которая позволила им захватить учетные записи пользователей Facebook.
В этой проблеме, затрагивающей около 50 миллионов учетных записей Facebook и, возможно, еще 50 миллионов, использовалась уязвимость в функции «Просмотреть как», которая позволяет пользователям Facebook просматривать страницы своего профиля как другого пользователя.
Пользователи Facebook должны выбрать меню «три точки» на странице своего профиля и выбрать опцию «Просмотреть как», отображаемую в качестве опции, когда они это сделают.
Компания перевернула функцию на данный момент. Вам будет показано уведомление о том, что функция на данный момент отключена.
«Предварительный просмотр моего профиля» отключен
Функция «Предварительный просмотр моего профиля» временно отключена. Пожалуйста, попробуйте позже.
Злоумышленникам удалось получить токены доступа, которые позволяют любому получить доступ к учетной записи, даже не вводя пароль.
На данный момент анализ Facebook продолжается. Компания быстро отреагировала и сбросила токены доступа для затронутых учетных записей (почти 50 миллионов), а также сбросила токены доступа для еще 40 миллионов учетных записей, которые взаимодействовали с View As в прошлом году.
Следователи еще не определили, были ли учетные записи использованы не по назначению или была получена информация. Компания планирует обновить официальное сообщение об обновлении безопасности на своем веб-сайте, как только у него появится больше информации.
Что вы можете сделать
Злоумышленникам удалось получить доступ только к токенам доступа. Именно поэтому Facebook не рекомендует пользователям менять пароли учетных записей, так как злоумышленники так и не получили пароли учетных записей.
Сброс токена доступа блокирует доступ к учетной записи Facebook для всех, кто пытается получить к нему доступ с использованием старого токена доступа.
Facebook отображает запрос на вход в систему для затронутых пользователей, а новый вход в учетную запись создает новый токен доступа, который используется с этого момента и далее.
Пользователи Facebook, затронутые этой проблемой, получают уведомление об инциденте при следующем входе в систему.
Тем не менее, есть некоторые вещи, которые вы можете захотеть сделать:
1. Проверьте последние логины
Перейдите на страницу //www.facebook.com/settings?tab=security§ion=sessions&view и проверьте устройства и местоположения, перечисленные в разделе «где вы вошли в систему».
Убедитесь, что вы видите только те устройства и местоположения, которые соответствуют вашей активности. Выполните следующие действия, если вы подозреваете, что вошедший в систему сеанс может выполняться третьей стороной:
- Нажмите на три точки справа от этого конкретного сеанса.
- Выберите Выход из меню.
Если вы хотите начать чистку, выберите «выйти из всех сеансов», чтобы заблокировать любое устройство, указанное там, кроме активного, с помощью токена доступа для доступа к Facebook.
2. Меры предосторожности
Facebook поддерживает параметры для лучшей защиты учетной записи.
- Получать оповещения о нераспознанных входах в систему - Facebook уведомляет вас, когда он замечает входы с устройств или браузеров, которые вы не использовали в прошлом. Убедитесь, что это включено.
- Авторизованные входы - проверьте список устройств, где вам не нужно будет использовать код входа. Удалите любое устройство или браузер из списка, который вы больше не используете или к которому у вас нет доступа.
- Двухфакторная аутентификация - добавляет дополнительный уровень защиты к учетной записи. Однако недавно было обнаружено, что Facebook будет использовать номер телефона в рекламных целях (рекламодатели загружают списки телефонных номеров, и, если ваш номер телефона находится в этом списке, вы будете получать рекламу от этого рекламодателя).
Вы также можете быть особенно осторожными, когда речь заходит об электронной почте или телефонных звонках, если вы столкнулись с проблемой. Если злоумышленники получили доступ к учетной записи, у них был доступ к электронной почте, вашему имени и другой личной информации, которую они могли бы использовать при фишинг-атаках или атаках в социальных сетях.
