Представители Facebook обнародовали подробности атаки, произошедшей в конце сентября. Стало известно, что пострадали 30 млн пользователей, а не 50 млн, как сообщалось изначально. Однако злоумышленники похитили не только токены, но и личные данные пользователей.

Напомню, что две недели назад выяснилось, что неизвестные злоумышленники похищали чужие токены доступа, используя уязвимость, связанную с функцией «Посмотреть как» (View as). Данная функция позволяет увидеть свой профиль глазами другого пользователя. По официальным данным, баг появился в коде социальной сети еще в июле 2017 года, но преступники обнаружили его лишь текущей осенью.

Из-за случившегося инженеры Facebook приняли решения разлогинить около 90 000 000 человек. Сообщалось, что токены для 50 млн учетных записей были аннулированы из-за злоупотреблений злоумышленников, но в качестве превентивной меры также были «отозваны» токены еще 40 млн человек, которые пользовались функцией «Посмотреть как» за последний год.

Теперь компания представила новый отчет о случившемся, раскрывающий немного больше деталей. Представители Facebook пишут, что в результате эксплуатации бага пострадали лишь 30 млн человек, но, как оказалось, были похищены не только токены. Данные примерно 29 млн пользователей социальной сети так же попали в руки преступников. Были похищены:

• имена и контактные данные (номер телефона и/или email) для 15 млн человек;


• еще для 14 млн пользователей были скомпрометированы имена, контактные данные, username, пол, информация о местоположении и языке, данные о семейном положении, вероисповедании, родном городе и текущем городе проживания, образовании, работе и последних 10 местах, которые пользователи отмечали в тегах; кроме того, в руки хакеров попала информация об устройствах, с которых эти пользователи заходят на Facebook, сайтах, людях и страницах, которые они фоловят, а также 15 последних поисковых запросов;


• лишь у 1 млн пользователей были похищены только сами токены доступа.

Социальная сеть сообщает, что совместно с ФБР продолжает расследование инцидента, и в настоящее время делается все возможное, чтобы идентифицировать нападавших. При этом подчеркивается, что пока правоохранительные органы просили как можно меньше распространяться о потенциальных злоумышленниках, стоявших за этой атакой.

Также представители Facebook пишут, что хакеры не пытались воспользоваться украденными токенами ни после инцидента (после принудительного логоаута пострадавших это в любом случае не сработало бы), ни до обнаружения проблемы. В том числе и благодаря этому атака не коснулась Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, сторонних приложений, рекламных аккаунтов и аккаунтов разработчиков.

Относительно самой эксплуатации бага теперь тоже появились новые подробности. Как оказалось, для запуска «цепной реакции» на начальном этапе преступники воспользовались фальшивыми учетными записями, принадлежавшими им самим и, очевидно, созданными специально для этой задачи.

Используя баг функции View As (мы уже описывали, как именно работала эта проблема), хакеры получили доступ примерно к 400 000 аккаунтов. Так, получив один токен, хакеры тут же переключались на друзей жертвы, затем на их друзей и так далее. Собрав токены для 400 000 учетных записей, они подключили к делу скрипты, автоматизировав и ускорив дальнейший сбор токенов. Именно работа этих скриптов и спровоцировала странные скачки трафика, на которые в середине сентября обратили внимание инженеры Facebook.

В ближайшие дни всем 30 млн пострадавших будет разослана обновленная информация об инциденте.

Теги: CSS, токены были Facebook пользователей которые