Facebook раскрыл сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.

Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок, по отдельности не представляющих большой опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.

Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.

Третья ошибка проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме "View As" загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен создаётся не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница. Таким образом, атакующий может получить токены доступа к учётным записям сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима "View As".

16 сентября инженерами Facebook был зафиксирован всплеск аномальной активности. Анализ данного всплеска позволил определить наличие вредоносной деятельности и воссоздать метод проведения атаки. Полностью уязвимости были определены и устранены 25 сентября. В том числе Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме (пользователям потребуется перезайти в свой аккаунт).

Всего отозваны токены 90 млн пользователей, из которых 50 млн были непосредственно атакованы и ещё 40 млн, которые использовали функцию "View As" с момента появления уязвимости (начиная с июля 2017 года). Пользователи имеют возможность проанализировать свои входы и подключаемые устройства в разделе анализа сеансов, но сообщается, что атакующие ограничились получением токенов (получение токена не отражается в логе входов), но до блокировки не успели массово ими воспользоваться.

Влияние атаки может быть значительно шире, чем предполагается, так полученные токены могли использоваться не только для входа в Facebook, но для подключения к любым сайтам и приложениям, использующим Facebook в качестве провайдера для идентификации. Пока не ясно имела ли атака целевой характер и была ли сосредоточена на определённой категории пользователей или регионе. Тем не менее уже объявлено, что в числе скомпрометированных учётных записей были аккаунты Марка Цукерберга и Шерил Сэндберг (исполнительный директор Facebook).

Интересно, что вчера исследователь безопасности из Тайваня заявил о намерении провести live-трансляцию удаления учётной записи Марка Цукерберга. Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook. Детали уязвимости будут опубликованы после оплаты вознаграждения, вручаемого в рамках программы содействия исследователям безопасности. На пресс-конференции, посвящённой проблеме с получением токенов для 50 миллионами учётных записей, было упомянуто, что это разные уязвимости.