فیسبوک در مورد نفوذی که ۵۰ میلیون کاربر را تحت تاثیر قرار داده تویحات بیشتری را به اشتراک گذاشت. این غول شبکههای اجتماعی روز جمعه از وجود یک آسیبپذیری در ویژگی View As خبر داد که نفوذگران با بهرهبرداری از آن توانستهاند به توکنهای دسترسیِ امنیت دست یافته و اطلاعات تقریبا ۵۰ میلیون کاربر را به سرقت ببرند. فیسبوک برای جلوگیری از بهرهبرداری از این آسیبپذیری، توکنهای کاربرانی که تحت تاثیر قرار گرفتهاند را بازنشانی کرده و این ویژگی آسیبپذیر را نیز تا اطلاع ثانوی و انجام یک سری بررسیها، به حالت تعلیق در آورده است.
توضیحات فنی در مورد نحوهی نفوذ به فیسبوک
ویژگی View As به کاربران نشان میدهد پروفایل آنها از دید بقیه چگونه نمایش داده میشود. به عبارتی این ویژگی در راستای افزایش حریم خصوصی کاربران است تا مطمئن شوند واقعا اطلاعاتی را با دیگران به اشتراک میگذارند که خودشان تمایل دارند. آسیبپذیری که توکنهای دسترسی را در اختیار نفوذگران قرار داده است، ترکیبی از ۳ آسیبپذیری مجزا در ویژگی View As و واسط بارگذاریکنندهی ویدئو است که در سال ۲۰۱۷ میلادی ارائه شده است.
زمانیکه از ویژگی View As استفاده میشود، پروفایل باید در قالب فقط-خواندنی نمایش داده شود. با این حال، جعبهی متنی که کاربران میتوانند از طریق آن به دوستان خود تبریک تولد بگویند، امکان بارگذاری ویدئو را نیز ارائه میدهد که این اولین اشکال است. زمانیکه در این جعبهی متنی ویدئو بارگذاری میشود، بارگذاریکننده یک توکن ایجاد میکند که مجوزهای برنامهی تلفن همراه فیسبوک را دارا میباشد. این نیز بهعنوان آسیبپذیری دوم محسوب میشود چرا که بارگذاریکنندهی ویدئو در این مرحله نباید بتواند توکن تولید کند.
سومین و آخرین آسیبپذیری مربوط به این مسأله است که توکنهای ایجادشده برای فردی نیست که از ویژگی View As استفاده کرده است بلکه برای فردی است که پروفایل از دید او مشاهده و جستجو شده است. نفوذگران میتوانند از طریق کد HTML به این توکنها دست یابند و در ادامه برای دسترسی به حساب کاربری قربانی از آنها استفاده کنند. مهاجم میتواند در ابتدا یکی از دوستان خود را هدف قرار داده و از آنجا به سمت حسابهای دیگر حرکت کند. انجام این حمله به هیچگونه تعاملی با کاربر نیاز ندارد.
کاربران و اطلاعاتی که در این نفوذ تحت تاثیر قرار گرفتهاند
فیسبوک در حال حاضر ادعا میکند که این آسیبپذیری را وصله کرده است. این شرکت اعلام کرد نفوذگران تلاش میکردند با دسترسی به واسطهای برنامهنویسی این شرکت، اطلاعاتی مانند نام، جنسیت و شهر محل تولد را بدست آورند و نتوانستهاند اطلاعات شخصی دیگری بدست آورند. بررسیهای این شرکت همچنان ادامه دارد ولی شواهدی مبنی بر دسترسی نفوذگران به پیامها و اطلاعات حسابهای بانکیِ کاربران مشاهده نشده است. گزارشها نشان میدهد کاربرانی که تحت تاثیر این نفوذ قرار گرفتهاند از سراسر جهان هستند و حتی بنیانگذار این شرکت نیز هدف این نفوذ قرار گرفته است.
نکتهی نگرانکنندهی دیگری که وجود دارد این است که توکنهای بهسرقت رفته نه تنها برای دسترسی به حسابهای فیسبوک بلکه برنامههای شخص ثالث که از برنامهی فیسبوک استفاده میکنند نیز مورد بهرهبرداری قرار میگیرند. هرچند با بازنشانی کردن توکنها باید این نگرانی نیز برطرف شده باشد. فیسبوک اعلام کرده کاربرانی که حساب اینستاگرام خود را به فیسبوک متصل کردهاند باید آن را حذف و دوباره متصل کنند چرا که توکنها بازنشانی شدهاند. اعلام شده واتساپ تحت تاثیر این آسیبپذیری و نفوذ قرار نگرفته است.
فیسبوک در تاریخ ۱۶ سپتامبر ترافیک شدیدی را بر روی وبسایت مشاهده و بررسیهایی را آغاز کرده است. آسیبپذیری و وقوع حمله در تاریخ ۲۵ سپتامبر شناسایی شده است. در تاریخ ۲۷ سپتامبر نیز به کاربرانی که تحت تاثیر این حمله قرار گرفتهاند اطلاعرسانی شده و توکنهای دسترسی بازنشانی شده است. هنوز در مورد ماهیت نفوذگران اطلاعاتی ارائه نشده ولی بهرهبرداری از این آسیبپذیری پیچیده بوده و نیازمند نفوذگرانی با مهارتهای بالا میباشد. فیسبوک اعلام کرد این نفوذ را به FBI و نهادهای قضایی اطلاع داده است. هرچند فیسبوک این حمله را سریع شناسایی و به آن پاسخ داده است ولی براساس قوانین GDPR احتمال جریمه شدن این شرکت به مبلغ ۱٫۶۴ میلیارد دلار وجود دارد. پس از شناسایی این حمله، سهام این شرکت ۳ درصد افت پیدا کرده است.