Toegangstokens van bijna 50 miljoen Facebookgebruikers gestolen
Door een aanval op Facebook zijn bijna 50 miljoen gebruikers getroffen, zo heeft de sociale netwerksite vandaag bekendgemaakt. De aanvallers maakten misbruik van een kwetsbaarheid in de "weergeven als" feature, waarmee gebruikers kunnen zien hoe hun profiel er voor iemand anders uitziet.
Via het beveiligingslek, dat door drie verschillende bugs werd veroorzaakt, wisten de aanvallers zogeheten toegangstokens te stelen, waarmee ze de accounts van gebruikers hadden kunnen overnemen. Via een toegangstoken blijven gebruikers op Facebook ingelogd, zonder dat ze elke keer bij het gebruik van de app opnieuw moeten inloggen.
Naar aanleiding van de aanval heeft Facebook van de bijna 50 miljoen getroffen gebruikers de toegangstokens gereset. Ook is dit uit voorzorg bij 40 miljoen andere accounts gedaan omdat de "weergeven als" feature ook bij hen is toegepast. Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen of op de apps die van Facebook Login gebruikmaken. Zodra deze gebruikers opnieuw zijn ingelogd krijgen ze een melding van Facebook te zien waarin het incident wordt gemeld.
De sociale netwerksite heeft verder besloten om de "weergeven als" feature gedurende een onderzoek tijdelijk uit te schakelen. Facebook stelt dat het onderzoek net begonnen is en het nog niet is vastgesteld of de aanvallers misbruik van de accounts hebben gemaakt of dat er toegang tot andere informatie is verkregen. Mochten er meer accounts getroffen zijn dan zullen ook van deze accounts de tokens worden gereset.
Optimist.
Onkruid vergaat niet (helaas).
Droom verder. Dit is waarschijnlijk de laatste keer dat je er iets over hoort...
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Optimist.
Onkruid vergaat niet (helaas).
Het probleem is dat Facebook zo'n gigantisch kapitaal heeft dat ze wel een erg lange adem zullen hebben.
Maar ik blijf optimistisch en ook FB zal ten onder gaan.
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Beveiligingsadvies van 30 jaar geleden lijkt niet de beste maatstaf te zijn. Zelfs de afgelopen 5 tot 10 jaar is veel compleet veranderd.
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Beveiligingsadvies van 30 jaar geleden lijkt niet de beste maatstaf te zijn. Zelfs de afgelopen 5 tot 10 jaar is veel compleet veranderd.
Houd het a.u.b. bij algemene veiligheidsadviezen.
Binnen dat kader sla je de spijker mis. Als je de voordeur uitloopt sluit je, neem ik aan, de voordeur niet meer af i.t.t. dertig jaar geleden?
Maak dat de kat wijs.
Uitloggen blijft veiliger dan ingelogd blijven gedurende een computersessie en verstandig ben je zeker door even de internet cache's te legen (Cookies, History) zeker als je hebt vertoefd op een aan je financien gerelateerde site.
Want:
"Trust has become a rare thing these days."
Citaat McCready tegen Windows in de remake of The Thing (1982)
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Dat is toch normaal?
Maar dan heeft de andere Anoniem gelijk dat het niets met uitloggen te maken heeft, het ging namelijk mis omdat bij "weergeven als" een cookie voor die gebruiker gegenereerd werd. De aanvaller kon daarmee een voor Facebook legitiem ogende sessie opzetten. De echte gebruiker kon de sessie op basis van die cookie niet afloggen omdat hij zelf die cookie helemaal niet had, die had alleen de aanvaller.
Dat is wat ik ervan maak, althans.
Ben ik een relikwie? Nee hoor, mij werkomgeving speelt zich bijna geheel online af in een ge-avanceerde redactionele omgeving. Het kan echt wel....
Voor de overigen een kwestie van afkicken. Maar hetgeen voor facebook en Whatsapp en andere sociale media geldt, moet natuurlijk ook gelden voor de google mono-search-demiurgen en feitelijk voor alle getrack en gemonitor via canvas profiling, pixel geo tracking, algoritmen, scripts en alle andere manieren.
Weg uit de subtiele verkokering terug naar vrije mening en info uitwisseling, weg met manipulatie, shadowbanning en downgrading en censuur, allemaal sluipend aan u opgedrongen door uw Silicon Masters, die eens begonnen zijn als fluittoon telefooncentrale hackers en zich later verhieven tot heersers van het Interwebz Imperium - het waren de tweakers, resource engineers en hackers uit den beginne, die later Salonfaehig werden gemaakt. Vergeet dat niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?