image

Beveiligingslek in Facebook maakte overname van accounts mogelijk

vrijdag 3 september 2021, 11:43 door Redactie, 14 reacties

Door het combineren van twee verschillende kwetsbaarheden in Facebook was het mogelijk om accounts van gebruikers over te nemen, zo heeft het sociale netwerk via het eigen platform laten weten. Het eerste beveiligingslek maakte het mogelijk om het Facebookgebruikers-ID te achterhalen dat bij een opgegeven e-mailadres of telefoonnummer hoort.

Vervolgens was het mogelijk om voor het achterhaalde gebruikers-ID een wachtwoordreset uit te voeren door de verificatiecode te bruteforcen die wordt gebruikt om een telefoonnummer te valideren. Via de wachtwoordreset kon het account worden overgenomen. Verdere details over de aanval zijn niet gegeven. Facebook beloonde de onderzoeker die de kwetsbaarheden rapporteerde met 40.000 dollar. Het bedrijf heeft de beveiligingslekken verholpen en zegt dat er geen aanwijzingen van misbruik zijn gevonden.

Verder maakt Facebook melding van een ander beveiligingslek in de standaardinstelling voor nieuw toegevoegde telefoonnummers of e-mailadressen. Wanneer gebruikers een telefoonnummer of e-mailadres toevoegden kregen ze ten onrechte te zien dat het nummer of e-mailadres alleen voor hen zichtbaar was. Door een bug was het telefoonnummer of e-mailadres echter voor iedereen zichtbaar die als "vriend" was aangemerkt.

Facebook heeft het probleem verholpen en zegt tevens een fix onder andere producten te hebben uitgerold om herhaling in de toekomst te voorkomen. Voor zover bekend is er geen misbruik van de kwetsbaarheid gemaakt om informatie van gebruikers te scrapen. De onderzoeker die het probleem meldde ontving een beloning van 15.000 dollar.

Reacties (14)
03-09-2021, 12:37 door Anoniem
De beste FIX is om facebook niet te gebruiken.
03-09-2021, 13:36 door [Account Verwijderd]
Door Anoniem: De beste FIX is om facebook niet te gebruiken.
Exact.
03-09-2021, 13:43 door karma4
Door Anoniem: De beste FIX is om facebook niet te gebruiken.
De beste Fix om geen verkeersongeluk te krijgen is om je nooit in het verkeer te tonen.
De beste Fix om geen computerproblemen te krijgen is om geen computers te gebruiken.
De beste Fix om niet met security problemen te maken te krijgen is om security mensen ver buiten de deur te houden ....
Serieus?
03-09-2021, 15:24 door spatieman
fix of geen fix.
Facebook zal, of je wel of geen "klant" bent je data verzamelen.
03-09-2021, 16:23 door Anoniem
Door spatieman: fix of geen fix.
Facebook zal, of je wel of geen "klant" bent je data verzamelen.
Niet als je de extensie Facebook Disconnect in Firefox of Waterfox intstalleert.
03-09-2021, 16:24 door Anoniem
Door karma4:
Door Anoniem: De beste FIX is om facebook niet te gebruiken.
De beste Fix om geen verkeersongeluk te krijgen is om je nooit in het verkeer te tonen.
De beste Fix om geen computerproblemen te krijgen is om geen computers te gebruiken.
De beste Fix om niet met security problemen te maken te krijgen is om security mensen ver buiten de deur te houden ....
Serieus?
En de beste FIX is om bij de context te blijven.
03-09-2021, 16:29 door Anoniem
Door karma4: De beste Fix om geen verkeersongeluk te krijgen is om je nooit in het verkeer te tonen.
Als je aan het verkeer deelneemt in een vehikel dat gemaakt is door een fabrikant met "move fast and break things" als centrale ontwerpprincipe, die jaar in jaar uit heeft aangetoond dat zijn product ook werkelijk vaak ernstige gebreken heeft, die jaar in jaar uit heeft laten zien dat als hij op de veiligheid van zijn product wordt aangesproken geen benul te hebben van wat veiligheid eigenlijk inhoudt maar daar steeds een heel opportunistische, op eigenbelang gerichte definitie van hanteert, en die weliswaar beweert dat het centrale ontwerpprincipe is aangepast maar er nog regelmatig blijk van geeft wel degelijk nog steeds zo te werken; als dat is hoe de fabrikant opereert, dan is de beste fix om geen verkeersongeluk te krijgen om alles van die fabrikant voortaan te mijden als de pest.

En natuurlijk beschreef ik Facebook en is inderdaad de beste fix om dat niet te gebruiken.
03-09-2021, 17:16 door Anoniem
Door Anoniem:
Door spatieman: fix of geen fix.
Facebook zal, of je wel of geen "klant" bent je data verzamelen.
Niet als je de extensie Facebook Disconnect in Firefox of Waterfox intstalleert.
En op je telefoon een firewall die globaal alles van Facebook blokt. Aangezien zeer veel applicaties uit de Playstore jouw data delen met Facebook, ook waarvoor je betaalt. Snap niet dat Google dit toestaat.
03-09-2021, 17:39 door karma4
Door Anoniem: Als je aan het verkeer deelneemt in een vehikel dat gemaakt is door een fabrikant me ......
Weinig zinvol om de merkenoorlog te voeren met auto's en verkeersveiligheid. Een rijvaardigheidsbewijs staat los van de auto en de typekeuring staat los van het mer.

Net zo min is het zinvol om een os dan wel applicatie als merkenoorlog te voeren.
Een rijvaardigheidbewijs (pebcak) overeenkomst ontbreekt
Een typekeuring zo met bijvooorbeeld ISO27002 ingevuld kunnen worden. Helaas zijn er nogal wat merkverslaafden / haters.
03-09-2021, 21:35 door Anoniem
Door karma4:
Door Anoniem: Als je aan het verkeer deelneemt in een vehikel dat gemaakt is door een fabrikant me ......
Weinig zinvol om de merkenoorlog te voeren met auto's en verkeersveiligheid. Een rijvaardigheidsbewijs staat los van de auto en de typekeuring staat los van het mer.

Net zo min is het zinvol om een os dan wel applicatie als merkenoorlog te voeren.
Een rijvaardigheidbewijs (pebcak) overeenkomst ontbreekt
Een typekeuring zo met bijvooorbeeld ISO27002 ingevuld kunnen worden. Helaas zijn er nogal wat merkverslaafden / haters.
Een ASS onderzoek zou voor sommige dan weer wel heel zinvol zijn.
05-09-2021, 02:04 door Anoniem
Door Anoniem:
Door spatieman: fix of geen fix.
Facebook zal, of je wel of geen "klant" bent je data verzamelen.
Niet als je de extensie Facebook Disconnect in Firefox of Waterfox intstalleert.

Firefox blokeert dit standaard. Dit soort extenties maken je juist meet opvallend.
05-09-2021, 06:35 door botbot
Door Anoniem:
Door karma4:
Door Anoniem: De beste FIX is om facebook niet te gebruiken.
De beste Fix om geen verkeersongeluk te krijgen is om je nooit in het verkeer te tonen.
De beste Fix om geen computerproblemen te krijgen is om geen computers te gebruiken.
De beste Fix om niet met security problemen te maken te krijgen is om security mensen ver buiten de deur te houden ....
Serieus?
En de beste FIX is om bij de context te blijven.

Ehhh dat was geheel binnen de context. Facebook heeft een lek. Mensen gebruiken Facebook. Facebook zegt we hebben een fix voor het lek. En dan komt men met zo'n debiele dooddoener als; "jahhh als je facebook niet gebruikt heb heb je ook geen last van een lek"....

Kom op man. Dan is een opmerking als: "Ja en als je niet de weg op gaat krijg je geen verkeersongeluk" geheel terecht en binnen dezelfde context als de dooddoener: "Dan moet je geen Facebook gebruiken".
05-09-2021, 10:04 door [Account Verwijderd]
Door botbot:
Door Anoniem:
Door karma4:
Door Anoniem: De beste FIX is om facebook niet te gebruiken.
De beste Fix om geen verkeersongeluk te krijgen is om je nooit in het verkeer te tonen.
..
Dan is een opmerking als: "Ja en als je niet de weg op gaat krijg je geen verkeersongeluk" geheel terecht en binnen dezelfde context als de dooddoener: "Dan moet je geen Facebook gebruiken".

Nou, nee, want de aanbieder van de weg (de overheid), heeft het beste met je voor. Dat geldt niet voor Facebook. Die willen alleen jouw gegevens, om er veel geld mee te verdienen.
06-09-2021, 09:55 door Anoniem
De beveiliging van FB is sowieso vaag....

Een kennis van mij heeft (voor het bedrijfje) een FB account/pagina.
Vorige week ineens een FB email melding over een 'verdachte login'.
Verdacht zeker, want het was vanuit een locatie en tijd die niet konden kloppen.

Het vreemde is dat in de FB instellingen ook 2FA aanstond, dus een extra laag beveiliging voor inloggen.

We hebben de hele wachtwoord reset doorlopen, en alles opnieuw ingesteld. Alle account instellingen waren verder niet veranderd/aangepast.

Oh.. En ook gelijk een check gedaan om te zien of het emailadres niet ergens online in een 'hack' database staat. Geen resultaten kunnen vinden.

Het blijft een vreemde gebeurtenis.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.