image

Toegangstokens van bijna 50 miljoen Facebookgebruikers gestolen

vrijdag 28 september 2018, 23:22 door Redactie, 17 reacties

Door een aanval op Facebook zijn bijna 50 miljoen gebruikers getroffen, zo heeft de sociale netwerksite vandaag bekendgemaakt. De aanvallers maakten misbruik van een kwetsbaarheid in de "weergeven als" feature, waarmee gebruikers kunnen zien hoe hun profiel er voor iemand anders uitziet.

Via het beveiligingslek, dat door drie verschillende bugs werd veroorzaakt, wisten de aanvallers zogeheten toegangstokens te stelen, waarmee ze de accounts van gebruikers hadden kunnen overnemen. Via een toegangstoken blijven gebruikers op Facebook ingelogd, zonder dat ze elke keer bij het gebruik van de app opnieuw moeten inloggen.

Naar aanleiding van de aanval heeft Facebook van de bijna 50 miljoen getroffen gebruikers de toegangstokens gereset. Ook is dit uit voorzorg bij 40 miljoen andere accounts gedaan omdat de "weergeven als" feature ook bij hen is toegepast. Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen of op de apps die van Facebook Login gebruikmaken. Zodra deze gebruikers opnieuw zijn ingelogd krijgen ze een melding van Facebook te zien waarin het incident wordt gemeld.

De sociale netwerksite heeft verder besloten om de "weergeven als" feature gedurende een onderzoek tijdelijk uit te schakelen. Facebook stelt dat het onderzoek net begonnen is en het nog niet is vastgesteld of de aanvallers misbruik van de accounts hebben gemaakt of dat er toegang tot andere informatie is verkregen. Mochten er meer accounts getroffen zijn dan zullen ook van deze accounts de tokens worden gereset.

Reacties (17)
29-09-2018, 00:16 door Anoniem
Ik heb nog een account waarvan ik het email adres enzo allemaal niet meer weet waardoor ik hem dus niet heb kunnen verwijderen. Zo zijn er misschien nog wel meer door mij aangemaakte accounts die niet op mijn naam staan maar die ik wel heb aangemaakt. Voor zover ik het begrijp hoef ik mij niet zorgen te maken toch?
29-09-2018, 08:06 door spatieman
bier en chips pakken, als dit niet de ondergang word van google2 ,weet ik het niet.
29-09-2018, 08:10 door Anoniem
Wat is hier nou erg aan. Je gegevens bij Facebook liggen per definitie toch al op straat. Het wordt gedeeld met iedereen die er voor wil betalen. Nu is er herrie omdat het gratis wordt verkregen via een hack.
29-09-2018, 08:57 door Anoniem
Door spatieman: bier en chips pakken, als dit niet de ondergang word van google2 ,weet ik het niet.

Optimist.

Onkruid vergaat niet (helaas).
29-09-2018, 09:33 door Anoniem
Daar hoop ik al een antal jaar stiekem op, maar door al die gebruikers is dat helaas niet mogelijk. Ze accepteren alles lijkt het wel van Facebook. Of dat door de verslaving komt geen idee. Wel apart.
29-09-2018, 09:49 door -karma4
Door spatieman: bier en chips pakken, als dit niet de ondergang word van google2 ,weet ik het niet.

Droom verder. Dit is waarschijnlijk de laatste keer dat je er iets over hoort...
29-09-2018, 10:53 door Briolet
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
29-09-2018, 16:27 door Anoniem
Door Anoniem:
Door spatieman: bier en chips pakken, als dit niet de ondergang word van google2 ,weet ik het niet.

Optimist.

Onkruid vergaat niet (helaas).

Het probleem is dat Facebook zo'n gigantisch kapitaal heeft dat ze wel een erg lange adem zullen hebben.
Maar ik blijf optimistisch en ook FB zal ten onder gaan.
29-09-2018, 16:35 door Anoniem
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Zou mij verrassen als ook maar 1% van de gebruikers na het facebooken(danwel twitteren, googlen, etc etc) zich netjes uitlogt.
29-09-2018, 17:12 door Anoniem
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)

Beveiligingsadvies van 30 jaar geleden lijkt niet de beste maatstaf te zijn. Zelfs de afgelopen 5 tot 10 jaar is veel compleet veranderd.
29-09-2018, 18:21 door Anoniem
Door Anoniem:
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)

Beveiligingsadvies van 30 jaar geleden lijkt niet de beste maatstaf te zijn. Zelfs de afgelopen 5 tot 10 jaar is veel compleet veranderd.

Houd het a.u.b. bij algemene veiligheidsadviezen.

Binnen dat kader sla je de spijker mis. Als je de voordeur uitloopt sluit je, neem ik aan, de voordeur niet meer af i.t.t. dertig jaar geleden?
Maak dat de kat wijs.

Uitloggen blijft veiliger dan ingelogd blijven gedurende een computersessie en verstandig ben je zeker door even de internet cache's te legen (Cookies, History) zeker als je hebt vertoefd op een aan je financien gerelateerde site.

Want:

"Trust has become a rare thing these days."

Citaat McCready tegen Windows in de remake of The Thing (1982)
29-09-2018, 19:05 door Anoniem
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Dit heeft niks te maken met 'uitloggen' maar alles met een 'impersonatie'-feature die door een combinatie van 3 verschillende bugs een access token kon aanvragen voor een gebruiker waarvan de pagina was in plaats van de huidig ingelogde gebruiker.
29-09-2018, 20:26 door Briolet
Door Anoniem:
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal?
Dit heeft niks te maken met 'uitloggen' maar alles met een 'impersonatie'-feature die door een combinatie van 3 verschillende bugs een access token kon aanvragen voor een gebruiker waarvan de pagina was in plaats van de huidig ingelogde gebruiker.
Wat denk je dat die "toegangstoken" is? Dat ding is er om ingelogd te blijven. Als je uitlogt, vervalt ook die toegangstoken en moet je een volgende keer weer inloggen.
30-09-2018, 17:46 door Anoniem
Door Briolet:
Door Anoniem: Dit heeft niks te maken met 'uitloggen' maar alles met een 'impersonatie'-feature die door een combinatie van 3 verschillende bugs een access token kon aanvragen voor een gebruiker waarvan de pagina was in plaats van de huidig ingelogde gebruiker.
Wat denk je dat die "toegangstoken" is? Dat ding is er om ingelogd te blijven. Als je uitlogt, vervalt ook die toegangstoken en moet je een volgende keer weer inloggen.
Het leest inderdaad alsof met een accesstoken een cookie wordt bedoeld.

Maar dan heeft de andere Anoniem gelijk dat het niets met uitloggen te maken heeft, het ging namelijk mis omdat bij "weergeven als" een cookie voor die gebruiker gegenereerd werd. De aanvaller kon daarmee een voor Facebook legitiem ogende sessie opzetten. De echte gebruiker kon de sessie op basis van die cookie niet afloggen omdat hij zelf die cookie helemaal niet had, die had alleen de aanvaller.

Dat is wat ik ervan maak, althans.
01-10-2018, 16:34 door Anoniem
Ik draai al een poosje mee in de IT (vanaf 1986) en ik vind het steeds minder leuk worden...
02-10-2018, 18:23 door Anoniem
Tja. Nog steeds een paar Nokia 6310i's, geen getwitter, geen Facebook, geen WhatsApp-achtigen. Heerlijk. Scheelt veel tijd. Wel e-mail (html only) en SMS. IoT is niet geschikt voor een veilig werkende professional. En ik mis niets en houd zelfs tijd over.

Ben ik een relikwie? Nee hoor, mij werkomgeving speelt zich bijna geheel online af in een ge-avanceerde redactionele omgeving. Het kan echt wel....
04-10-2018, 00:38 door Anoniem
@ anoniem van 18:23 van 02-10-2018

Voor de overigen een kwestie van afkicken. Maar hetgeen voor facebook en Whatsapp en andere sociale media geldt, moet natuurlijk ook gelden voor de google mono-search-demiurgen en feitelijk voor alle getrack en gemonitor via canvas profiling, pixel geo tracking, algoritmen, scripts en alle andere manieren.

Weg uit de subtiele verkokering terug naar vrije mening en info uitwisseling, weg met manipulatie, shadowbanning en downgrading en censuur, allemaal sluipend aan u opgedrongen door uw Silicon Masters, die eens begonnen zijn als fluittoon telefooncentrale hackers en zich later verhieven tot heersers van het Interwebz Imperium - het waren de tweakers, resource engineers en hackers uit den beginne, die later Salonfaehig werden gemaakt. Vergeet dat niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.