Toegangstokens van bijna 50 miljoen Facebookgebruikers gestolen
Door een aanval op Facebook zijn bijna 50 miljoen gebruikers getroffen, zo heeft de sociale netwerksite vandaag bekendgemaakt. De aanvallers maakten misbruik van een kwetsbaarheid in de "weergeven als" feature, waarmee gebruikers kunnen zien hoe hun profiel er voor iemand anders uitziet.
Via het beveiligingslek, dat door drie verschillende bugs werd veroorzaakt, wisten de aanvallers zogeheten toegangstokens te stelen, waarmee ze de accounts van gebruikers hadden kunnen overnemen. Via een toegangstoken blijven gebruikers op Facebook ingelogd, zonder dat ze elke keer bij het gebruik van de app opnieuw moeten inloggen.
Naar aanleiding van de aanval heeft Facebook van de bijna 50 miljoen getroffen gebruikers de toegangstokens gereset. Ook is dit uit voorzorg bij 40 miljoen andere accounts gedaan omdat de "weergeven als" feature ook bij hen is toegepast. Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen of op de apps die van Facebook Login gebruikmaken. Zodra deze gebruikers opnieuw zijn ingelogd krijgen ze een melding van Facebook te zien waarin het incident wordt gemeld.
De sociale netwerksite heeft verder besloten om de "weergeven als" feature gedurende een onderzoek tijdelijk uit te schakelen. Facebook stelt dat het onderzoek net begonnen is en het nog niet is vastgesteld of de aanvallers misbruik van de accounts hebben gemaakt of dat er toegang tot andere informatie is verkregen. Mochten er meer accounts getroffen zijn dan zullen ook van deze accounts de tokens worden gereset.
Optimist.
Onkruid vergaat niet (helaas).
Droom verder. Dit is waarschijnlijk de laatste keer dat je er iets over hoort...
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Optimist.
Onkruid vergaat niet (helaas).
Het probleem is dat Facebook zo'n gigantisch kapitaal heeft dat ze wel een erg lange adem zullen hebben.
Maar ik blijf optimistisch en ook FB zal ten onder gaan.
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Beveiligingsadvies van 30 jaar geleden lijkt niet de beste maatstaf te zijn. Zelfs de afgelopen 5 tot 10 jaar is veel compleet veranderd.
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Beveiligingsadvies van 30 jaar geleden lijkt niet de beste maatstaf te zijn. Zelfs de afgelopen 5 tot 10 jaar is veel compleet veranderd.
Houd het a.u.b. bij algemene veiligheidsadviezen.
Binnen dat kader sla je de spijker mis. Als je de voordeur uitloopt sluit je, neem ik aan, de voordeur niet meer af i.t.t. dertig jaar geleden?
Maak dat de kat wijs.
Uitloggen blijft veiliger dan ingelogd blijven gedurende een computersessie en verstandig ben je zeker door even de internet cache's te legen (Cookies, History) zeker als je hebt vertoefd op een aan je financien gerelateerde site.
Want:
"Trust has become a rare thing these days."
Citaat McCready tegen Windows in de remake of The Thing (1982)
Dat is toch normaal? Mij is 30 jaar geleden al geleerd dat je steeds moet uitloggen als je klaar bent met een sessie. Door niet uit te loggen is er altijd een risico dat anderen weer met je sessie aan de gang gaan. (Wat nu ook bleek bij Facebook)
Dat is toch normaal?
Maar dan heeft de andere Anoniem gelijk dat het niets met uitloggen te maken heeft, het ging namelijk mis omdat bij "weergeven als" een cookie voor die gebruiker gegenereerd werd. De aanvaller kon daarmee een voor Facebook legitiem ogende sessie opzetten. De echte gebruiker kon de sessie op basis van die cookie niet afloggen omdat hij zelf die cookie helemaal niet had, die had alleen de aanvaller.
Dat is wat ik ervan maak, althans.
Ben ik een relikwie? Nee hoor, mij werkomgeving speelt zich bijna geheel online af in een ge-avanceerde redactionele omgeving. Het kan echt wel....
Voor de overigen een kwestie van afkicken. Maar hetgeen voor facebook en Whatsapp en andere sociale media geldt, moet natuurlijk ook gelden voor de google mono-search-demiurgen en feitelijk voor alle getrack en gemonitor via canvas profiling, pixel geo tracking, algoritmen, scripts en alle andere manieren.
Weg uit de subtiele verkokering terug naar vrije mening en info uitwisseling, weg met manipulatie, shadowbanning en downgrading en censuur, allemaal sluipend aan u opgedrongen door uw Silicon Masters, die eens begonnen zijn als fluittoon telefooncentrale hackers en zich later verhieven tot heersers van het Interwebz Imperium - het waren de tweakers, resource engineers en hackers uit den beginne, die later Salonfaehig werden gemaakt. Vergeet dat niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.