Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Toegangstokens van bijna 50 miljoen Facebookgebruikers gestolen

vrijdag 28 september 2018, 23:22 door Redactie, 17 reacties

Door een aanval op Facebook zijn bijna 50 miljoen gebruikers getroffen, zo heeft de sociale netwerksite vandaag bekendgemaakt. De aanvallers maakten misbruik van een kwetsbaarheid in de "weergeven als" feature, waarmee gebruikers kunnen zien hoe hun profiel er voor iemand anders uitziet.

Via het beveiligingslek, dat door drie verschillende bugs werd veroorzaakt, wisten de aanvallers zogeheten toegangstokens te stelen, waarmee ze de accounts van gebruikers hadden kunnen overnemen. Via een toegangstoken blijven gebruikers op Facebook ingelogd, zonder dat ze elke keer bij het gebruik van de app opnieuw moeten inloggen.

Naar aanleiding van de aanval heeft Facebook van de bijna 50 miljoen getroffen gebruikers de toegangstokens gereset. Ook is dit uit voorzorg bij 40 miljoen andere accounts gedaan omdat de "weergeven als" feature ook bij hen is toegepast. Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen of op de apps die van Facebook Login gebruikmaken. Zodra deze gebruikers opnieuw zijn ingelogd krijgen ze een melding van Facebook te zien waarin het incident wordt gemeld.

De sociale netwerksite heeft verder besloten om de "weergeven als" feature gedurende een onderzoek tijdelijk uit te schakelen. Facebook stelt dat het onderzoek net begonnen is en het nog niet is vastgesteld of de aanvallers misbruik van de accounts hebben gemaakt of dat er toegang tot andere informatie is verkregen. Mochten er meer accounts getroffen zijn dan zullen ook van deze accounts de tokens worden gereset.

Overheid start proef met online verlengen van rijbewijs
Mac-malware Fruitfly verspreidde zich via zwakke wachtwoorden
Reacties (17)
29-09-2018, 00:16 door Anoniem
Ik heb nog een account waarvan ik het email adres enzo allemaal niet meer weet waardoor ik hem dus niet heb kunnen verwijderen. Zo zijn er misschien nog wel meer door mij aangemaakte accounts die niet op mijn naam staan maar die ik wel heb aangemaakt. Voor zover ik het begrijp hoef ik mij niet zorgen te maken toch?
29-09-2018, 08:06 door spatieman
bier en chips pakken, als dit niet de ondergang word van google2 ,weet ik het niet.
29-09-2018, 08:10 door Anoniem
Wat is hier nou erg aan. Je gegevens bij Facebook liggen per definitie toch al op straat. Het wordt gedeeld met iedereen die er voor wil betalen. Nu is er herrie omdat het gratis wordt verkregen via een hack.
29-09-2018, 08:57 door Anoniem
Door spatieman: bier en chips pakken, als dit niet de ondergang word van google2 ,weet ik het niet.

Optimist.

Onkruid vergaat niet (helaas).
29-09-2018, 09:33 door Anoniem
Daar hoop ik al een antal jaar stiekem op, maar door al die gebruikers is dat helaas niet mogelijk. Ze accepteren alles lijkt het wel van Facebook. Of dat door de verslaving komt geen idee. Wel apart.
29-09-2018, 09:49 door -karma4
Door spatieman: bier en chips pakken, als dit niet de ondergang word van google2 ,weet ik het niet.

Droom verder. Dit is waarschijnlijk de laatste keer dat je er iets over hoort...
29-09-2018, 10:53 door Briolet
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
29-09-2018, 16:27 door Anoniem
Door Anoniem:
Door spatieman: bier en chips pakken, als dit niet de ondergang word van google2 ,weet ik het niet.

Optimist.

Onkruid vergaat niet (helaas).

Het probleem is dat Facebook zo'n gigantisch kapitaal heeft dat ze wel een erg lange adem zullen hebben.
Maar ik blijf optimistisch en ook FB zal ten onder gaan.
29-09-2018, 16:35 door Anoniem
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Zou mij verrassen als ook maar 1% van de gebruikers na het facebooken(danwel twitteren, googlen, etc etc) zich netjes uitlogt.
29-09-2018, 17:12 door Anoniem
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)

Beveiligingsadvies van 30 jaar geleden lijkt niet de beste maatstaf te zijn. Zelfs de afgelopen 5 tot 10 jaar is veel compleet veranderd.
29-09-2018, 18:21 door Anoniem
Door Anoniem:
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)

Beveiligingsadvies van 30 jaar geleden lijkt niet de beste maatstaf te zijn. Zelfs de afgelopen 5 tot 10 jaar is veel compleet veranderd.

Houd het a.u.b. bij algemene veiligheidsadviezen.

Binnen dat kader sla je de spijker mis. Als je de voordeur uitloopt sluit je, neem ik aan, de voordeur niet meer af i.t.t. dertig jaar geleden?
Maak dat de kat wijs.

Uitloggen blijft veiliger dan ingelogd blijven gedurende een computersessie en verstandig ben je zeker door even de internet cache's te legen (Cookies, History) zeker als je hebt vertoefd op een aan je financien gerelateerde site.

Want:

"Trust has become a rare thing these days."

Citaat McCready tegen Windows in de remake of The Thing (1982)
29-09-2018, 19:05 door Anoniem
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Dit heeft niks te maken met 'uitloggen' maar alles met een 'impersonatie'-feature die door een combinatie van 3 verschillende bugs een access token kon aanvragen voor een gebruiker waarvan de pagina was in plaats van de huidig ingelogde gebruiker.
29-09-2018, 20:26 door Briolet
Door Anoniem:
Door Briolet:
Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen

Dat is toch normaal?
Dit heeft niks te maken met 'uitloggen' maar alles met een 'impersonatie'-feature die door een combinatie van 3 verschillende bugs een access token kon aanvragen voor een gebruiker waarvan de pagina was in plaats van de huidig ingelogde gebruiker.
Wat denk je dat die "toegangstoken" is? Dat ding is er om ingelogd te blijven. Als je uitlogt, vervalt ook die toegangstoken en moet je een volgende keer weer inloggen.
30-09-2018, 17:46 door Anoniem
Door Briolet:
Door Anoniem: Dit heeft niks te maken met 'uitloggen' maar alles met een 'impersonatie'-feature die door een combinatie van 3 verschillende bugs een access token kon aanvragen voor een gebruiker waarvan de pagina was in plaats van de huidig ingelogde gebruiker.
Wat denk je dat die "toegangstoken" is? Dat ding is er om ingelogd te blijven. Als je uitlogt, vervalt ook die toegangstoken en moet je een volgende keer weer inloggen.
Het leest inderdaad alsof met een accesstoken een cookie wordt bedoeld.

Maar dan heeft de andere Anoniem gelijk dat het niets met uitloggen te maken heeft, het ging namelijk mis omdat bij "weergeven als" een cookie voor die gebruiker gegenereerd werd. De aanvaller kon daarmee een voor Facebook legitiem ogende sessie opzetten. De echte gebruiker kon de sessie op basis van die cookie niet afloggen omdat hij zelf die cookie helemaal niet had, die had alleen de aanvaller.

Dat is wat ik ervan maak, althans.
01-10-2018, 16:34 door Anoniem
Ik draai al een poosje mee in de IT (vanaf 1986) en ik vind het steeds minder leuk worden...
02-10-2018, 18:23 door Anoniem
Tja. Nog steeds een paar Nokia 6310i's, geen getwitter, geen Facebook, geen WhatsApp-achtigen. Heerlijk. Scheelt veel tijd. Wel e-mail (html only) en SMS. IoT is niet geschikt voor een veilig werkende professional. En ik mis niets en houd zelfs tijd over.

Ben ik een relikwie? Nee hoor, mij werkomgeving speelt zich bijna geheel online af in een ge-avanceerde redactionele omgeving. Het kan echt wel....
04-10-2018, 00:38 door Anoniem
@ anoniem van 18:23 van 02-10-2018

Voor de overigen een kwestie van afkicken. Maar hetgeen voor facebook en Whatsapp en andere sociale media geldt, moet natuurlijk ook gelden voor de google mono-search-demiurgen en feitelijk voor alle getrack en gemonitor via canvas profiling, pixel geo tracking, algoritmen, scripts en alle andere manieren.

Weg uit de subtiele verkokering terug naar vrije mening en info uitwisseling, weg met manipulatie, shadowbanning en downgrading en censuur, allemaal sluipend aan u opgedrongen door uw Silicon Masters, die eens begonnen zijn als fluittoon telefooncentrale hackers en zich later verhieven tot heersers van het Interwebz Imperium - het waren de tweakers, resource engineers en hackers uit den beginne, die later Salonfaehig werden gemaakt. Vergeet dat niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Welke messaging-app gebruik jij?

23 reacties
Aantal stemmen: 603
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter