Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Представители Facebook обнародовали подробности атаки, произошедшей в конце сентября. Стало известно, что пострадали 30 млн пользователей, а не 50 млн, как сообщалось изначально. Однако злоумышленники похитили не только токены, но и личные данные пользователей.
Напомню, что две недели назад выяснилось, что неизвестные злоумышленники похищали чужие токены доступа, используя уязвимость, связанную с функцией «Посмотреть как» (View as). Данная функция позволяет увидеть свой профиль глазами другого пользователя. По официальным данным, баг появился в коде социальной сети еще в июле 2017 года, но преступники обнаружили его лишь текущей осенью.
Из-за случившегося инженеры Facebook приняли решения разлогинить около 90 000 000 человек. Сообщалось, что токены для 50 млн учетных записей были аннулированы из-за злоупотреблений злоумышленников, но в качестве превентивной меры также были «отозваны» токены еще 40 млн человек, которые пользовались функцией «Посмотреть как» за последний год.
Теперь компания представила новый отчет о случившемся, раскрывающий немного больше деталей. Представители Facebook пишут, что в результате эксплуатации бага пострадали лишь 30 млн человек, но, как оказалось, были похищены не только токены. Данные примерно 29 млн пользователей социальной сети так же попали в руки преступников. Были похищены:
Социальная сеть сообщает, что совместно с ФБР продолжает расследование инцидента, и в настоящее время делается все возможное, чтобы идентифицировать нападавших. При этом подчеркивается, что пока правоохранительные органы просили как можно меньше распространяться о потенциальных злоумышленниках, стоявших за этой атакой.
Также представители Facebook пишут, что хакеры не пытались воспользоваться украденными токенами ни после инцидента (после принудительного логоаута пострадавших это в любом случае не сработало бы), ни до обнаружения проблемы. В том числе и благодаря этому атака не коснулась Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, сторонних приложений, рекламных аккаунтов и аккаунтов разработчиков.
Относительно самой эксплуатации бага теперь тоже появились новые подробности. Как оказалось, для запуска «цепной реакции» на начальном этапе преступники воспользовались фальшивыми учетными записями, принадлежавшими им самим и, очевидно, созданными специально для этой задачи.
Используя баг функции View As (мы уже описывали, как именно работала эта проблема), хакеры получили доступ примерно к 400 000 аккаунтов. Так, получив один токен, хакеры тут же переключались на друзей жертвы, затем на их друзей и так далее. Собрав токены для 400 000 учетных записей, они подключили к делу скрипты, автоматизировав и ускорив дальнейший сбор токенов. Именно работа этих скриптов и спровоцировала странные скачки трафика, на которые в середине сентября обратили внимание инженеры Facebook.
В ближайшие дни всем 30 млн пострадавших будет разослана обновленная информация об инциденте.
|
|