Koskeeko jättimäinen Facebook-vuoto sinua? Se selviää vain näin

Kirjoittaja Manu Pitkänen @ 29.9.2018 09:52 Kommentteja (6)

Koskeeko jättimäinen Facebook-vuoto sinua? Se selviää vain näin Eilen illalla ilmeni, että Facebookin kautta on mahdollisesti päästy käsiksi jopa 50 miljoonan käyttäjän tileille. Tällä hetkellä ei tiedetä tarkkaan mitä tietoja on paljastunut, mutta ainakin palvelusta löytyneiden haavoittuvuuksien kautta on ollut mahdollista päästä käsiksi profiilin perustietoihin.
Tietovuotoa on kartoitettu sen verran, että sen on todettu koskettaneen 50 miljoonaa käyttäjää ja Facebook on kirjannut heidän käyttäjätilinsä ulos palvelusta. Näin haavoittuvuutta hyödyntävät tahot eivät pääse enää käyttämään tilejä. Käyttäjien on tosin nyt kirjauduttava takaisin palveluun. Varotoimenpiteenä Facebook on kirjannut 40 miljoonaa muuta käyttäjää pois palvelusta, vaikkei heidän uskota joutuneen kohteeksi.

Yli 90 miljoonaa käyttäjää on siis kirjattu ulos Facebookista ja muista palveluista, jotka käyttävät Facebook-kirjautumista.



Toistaiseksi tämä on ainoa tapa saada selville koskettaako tapaus omaa tiliä. Mitään tarkastus palvelua ei ole olemassa, joten omia tietoja ei kannata sellaisiin myöskään syöttää.

Tietomurron ytimessä on ollut Facebookin "Näytä miltä profiilini näyttää muille"-ominaisuus, jonka avulla voi tarkastella sitä, miltä oma Facebook-profiili näyttää muiden käyttäjien silmistä katsottuna. Löytyneet haavoittuvuudet antoivat murtautujille mahdollisuuden kopioida noin 50 miljoonan käyttäjän käyttöoikeustunnisteen (access token). Tästä syystä käyttäjien uloskirjaaminen riittää suojaustoimenpiteeksi.

Edellinen Seuraava  

6 kommenttia

129.9.2018 11:36

Millä perusteella nuo 40 miljoonaa "muuta" käyttäjää on valikoitu? Tuntuu hassulta jos vain on randomisti valittu 40 milj. käyttäjää jotka on logattu ulos.

229.9.2018 16:03

Lainaus, alkuperäisen viestin kirjoitti pkaksp:
Millä perusteella nuo 40 miljoonaa "muuta" käyttäjää on valikoitu? Tuntuu hassulta jos vain on randomisti valittu 40 milj. käyttäjää jotka on logattu ulos.

Ylläpito näkee varmaankin access tokenin aikaleimasta onko käyttäjä ollut kirjautuneena haavoittuvuuden aikaan tms.

330.9.2018 08:33
spam
Vahvistamaton

Lainaus:
Se selviää vain näin


Uutisessa kerrotiin että uhrit on kirjattu palvelusta ulos, joka ilmeisesti tarkoittaa sitä että jos on ollut kirjautuneena, niin pitää kirjautua uudestaan.
Jos tuo oli vastaus otsikon lupaukseen, niin onko uhreje vain ne jotka ovat olleet kirjautuneena ?

Tosin rivien välistä saa käsityksen että tuo oli vain varotoimi, jolla estetään varkauksia jatkuminen.

Eli FB ei toistaiseksi ole kertonut uhreille eikä uhreilla ole toistaiseksi mitään konstia selvittää koskiko se itseä.

430.9.2018 09:12

Lainaus, alkuperäisen viestin kirjoitti user_org:
Lainaus:
Se selviää vain näin


Uutisessa kerrotiin että uhrit on kirjattu palvelusta ulos, joka ilmeisesti tarkoittaa sitä että jos on ollut kirjautuneena, niin pitää kirjautua uudestaan.
Jos tuo oli vastaus otsikon lupaukseen, niin onko uhreje vain ne jotka ovat olleet kirjautuneena ?

Tosin rivien välistä saa käsityksen että tuo oli vain varotoimi, jolla estetään varkauksia jatkuminen.

Eli FB ei toistaiseksi ole kertonut uhreille eikä uhreilla ole toistaiseksi mitään konstia selvittää koskiko se itseä.


Haavoittuvuuden hyväksikäyttämiseksi uhrin on pitänyt olla kirjautuneena, jotta hänen access tokeniaan on voitu käyttää. Joka kerta kun käyttäjä kiejautuu ulos, access token poistetaan. Uudelleen kirjautuminen luo uuden access tokenin.

Uhrit on uloskirjattu ylläpidon toimesta ja seuraavalla sisäänkirjautumisella heille on ilmoitettu haavoittuvuudenästa.

Näin on uutisoitu aikaisemmissa uutisissa.

530.9.2018 13:11
spam
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti Temposaur:

Uhrit on uloskirjattu ylläpidon toimesta ja seuraavalla sisäänkirjautumisella heille on ilmoitettu haavoittuvuudenästa.

Eli jos ei varoitusta (ilmoitusta haavoittuvudesta) ei ole tullut, niin tämähetken käsityksen mukaan ei ole ollut vaarassa.

Lainaus, alkuperäisen viestin kirjoitti Temposaur:

Haavoittuvuuden hyväksikäyttämiseksi uhrin on pitänyt olla kirjautuneena,

Onko kerrottu koska tämä vuoto on tapahtunut, eli koska on pitänyt olla kirjautuneena jotta tuo olisi ollut mahdollista.

Kiitos kovasti vastauksesta.

630.9.2018 19:32

Lainaus, alkuperäisen viestin kirjoitti user_org:
Lainaus, alkuperäisen viestin kirjoitti Temposaur:

Uhrit on uloskirjattu ylläpidon toimesta ja seuraavalla sisäänkirjautumisella heille on ilmoitettu haavoittuvuudenästa.

Eli jos ei varoitusta (ilmoitusta haavoittuvudesta) ei ole tullut, niin tämähetken käsityksen mukaan ei ole ollut vaarassa.

Lainaus, alkuperäisen viestin kirjoitti Temposaur:

Haavoittuvuuden hyväksikäyttämiseksi uhrin on pitänyt olla kirjautuneena,

Onko kerrottu koska tämä vuoto on tapahtunut, eli koska on pitänyt olla kirjautuneena jotta tuo olisi ollut mahdollista.

Kiitos kovasti vastauksesta.

ymmärsin, ettei ole tiedossa onko haavoittuvuutta oikeasti käytetty. Mutta haavoittuvuus on ollut mahdollista vain tuon access tokenin avulla.

Jonkun kirjoituksen mukaan mm. Mark Zuckerbergin tiliä olisi saatettu tutkia haavoittuvuuden avulla.


Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Facebook-rahalta hävisi tuki – Mikä on some-jätin valuutan tulevaisuus? Facebook-rahalta hävisi tuki – Mikä on some-jätin valuutan tulevaisuus? (12.10.2019 14:43)
Facebook on nyt kovan paikan edessä, kun sen kehittämältä Libra-virtuaalivaluutalta on kaikonnut tärkeimpien yhteistyökumppaneiden tuki. Ensin Libra-valuutan hylkäsi PayPal, mutta nyt muutkin ....
1 kommentti
Jäätävä basso: arvostelussa Skullcandy Crusher ANC -vastamelukuulokkeet Jäätävä basso: arvostelussa Skullcandy Crusher ANC -vastamelukuulokkeet (12.10.2019 10:59)
Mikä on punainen ja tärisee musiikin tahdissa? Tietysti Skullcandyn Crusher ANC -kuulokkeet. Niitä nyt testataan. Viininpunaiset kuulokkeet (saatavana myös mustana) kätkevät sisälleen paljon ....
WhatsApp hävisi Google Playstä – Kukaan ei tiedä syytä WhatsApp hävisi Google Playstä – Kukaan ei tiedä syytä (12.10.2019 10:29)
Jos eilen yritit ladata WhatsAppia Android-puhelimeen, saatoit havaita ettei se ollut mahdollista. Pikaviestisovellus nimittäin puuttui Google Playn valikoimista kokonaan hetken aika. Mikäli ....
Googlen Stadia-pelistriimaus rikkoo universumin ja mahdollistaa negatiivisen latenssin? Googlen Stadia-pelistriimaus rikkoo universumin ja mahdollistaa "negatiivisen latenssin"? (11.10.2019 22:36)
Googlen alkuvuodesta paljastama pelipalvelu Stadia on pian julkaisuvalmis, mutta monia huolettaa edelleen erityisesti nopeatempoisten pelien pelaaminen. Vaikka laatu on varmasti kohdallaan ....
Donald Trumpista tuli Twitch-striimaaja, kanavalla vain yksi video Donald Trumpista tuli Twitch-striimaaja, kanavalla vain yksi video (11.10.2019 22:02)
Donald Trumpin kampanja Yhdysvaltain presidentin vaaleihin 2020 on saanut erikoisen käänteen. Nykyisen POTUSin kyseessä olessa käänteitä tietysti on riittänyt, mutta kukapa olisi odottanut, ....

Uutisarkisto