Ktoś włamał się na Facebooka i podkradł 50 milionów kont. To nie koniec kłopotów

Jeżeli ktoś po uruchomieniu aplikacji lub strony głównej Facebooka otrzymał dziś komunikat "sesja wygasła", nie jest jedyny. Newsroom FB poinformował niedawno, że wskutek błędu w kodzie funkcji "Oglądaj jako", możliwa była kradzież tzw. biletów uwierzytelnionych (access tokens) dla sesji na portalu. Posiadanie owego tokenu pozwala aplikacji występować jako zalogowany użytkownik. W przypadku wersji przeglądarkowej, jest to zbiór plików cookie oraz odcisk palca urządzenia. W ramach środków zaradczych, poza załataniem dziury i zgłoszeniem sprawy na policję, administracja Facebooka unieważniła 50 milionów danych logowania użytkowników, których tokeny można było wykraść, a następnie kolejne 40 milionów sesji, na wszelki wypadek. Ponieważ sprawa nie dotyczy haseł, nie zresetowano ich. Te bowiem nie wyciekły.[img=news]Funkcja "oglądaj jako" jest jednym z mechanizmów zabezpieczeń prywatności na Facebooku. Dzięki niej możliwe jest zasymulowanie wyświetlenia swojego profilu oraz osi czasu (timeline) jako inny użytkownik. W ten sposób można upewnić się, że zastosowane ustawienia prywatności są poprawnie aplikowane dla naszych treści. Użytkownik może bowiem ustawić widoczność każdego publikowanego wpisu oraz informacji profilowych. W przypadku niezaaplikowania takiego ustawienia, stosowane są ustawienia domyślne. "Oglądaj jako" jest powszechnie stosowane do prowadzenia niemal podwójnego życia na portalu: część postów widzą tylko znajomi, część tylko rodzice (a ci przecież muszą być dumni), a niektóre posty - wszyscy poza byłą dziewczyną.

Jeżeli kradzież biletów uwierzytelniających była możliwa, to jest to problem o wiele większy, niż kradzież haseł. Przejęcie hasła do konta, a następnie próba użycia go do zalogowania wywoła ostrzeżenie ze strony Facebooka. Pojawia się ono na wszystkich urządzeniach, na których zalogowany jest użytkownik oraz dodatkowo przychodzi na maila. Ponadto, jeżeli włączono uwierzytelnianie dwuskładnikowe, samo hasło nie wystarczy do zalogowania.

Tymczasem bilet dostępu pozwala na zestawienie całej gotowej sesji bez konieczności logowania. Nie jest jasne, czy sesja stworzona wskutek kradzieży biletu jest dostępna na liście sesji, ale dla porządku przypomnijmy, jak zadbać o bezpieczeństwo naszego konta na Facebooku

Pierwszym krokiem, jaki należy wykonać (i najlepiej powtarzać go co jakiś czas), jest wyprawa do obszaru Ustawienia, dostępnego jako opcja nad przyciskiem "Wyloguj". Następnie należy wybrać sekcję "Bezpieczeństwo i logowanie", znajdującą się jako druga pozycja po lewej stronie. Dzięki temu uzyskamy dostęp do listy "miejsca logowania", przechowujące spis wszystkich urządzeń, na których znajduje się ważny bilet uwierzytelnienia. Nie oznacza to włączonych urządzeń, ani sesji, na których ktoś właśnie jest zalogowany. Mowa o wszystkich miejscach, w których nie będzie konieczne wpisanie hasła celem zalogowania. Dla 90 milionów użytkowników, taka lista stała się dziś pusta. Pozostali powinni ją odwiedzić samodzielnie i dokonać w niej stosownych porządków. Może uda się tam znaleźć jakieś niespodzianki?

Drugim krokiem powinno być uruchomienie uwierzytelnienia dwuskładnikowego. W ten sposób, poza podaniem hasła, każde logowanie na nowych urządzeniu będzie wymagało podania kodu generowanego aplikacją lub przesłanego kodem SMS (co oznacza konieczność podania numeru telefonu!). Przełącznik uruchamiający tę metodę logowania znajduje się w sekcji "Uwierzytelnianie dwuskładnikowe", zaraz pod listą sesji.

Przy okazji, warto zastanowić się, w ilu miejscach i do jakich usług logujemy się kontem Facebooka zamiast konta dedykowanego. Jeżeli takich miejsc jest niewiele, zredukowanie udziału mediów społecznościowych okaże się znacznie łatwiejsze. Ale bardzo często nie jest to takie proste...

O swoje bezpieczeństwo musi jednak zadbać również sam Facebook. Portal Bloomberg informuje bowiem, że pewien chiński haker imieniem Chang Chi-yuan ogłosił wolę usunięcia konta Marka Zuckerberga oraz strumieniowanie owego aktu na żywo. Jeżeli nie zostaną wdrożone środki zapobiegawcze, transmisja wideo ma mieć miejsce jutro w południe. Chang nie jest nieznaną postacią. Działalność hakerska to jego pomysł na biznes, za co został w 2016 roku wyróżniony przez korporację Line. Czy blefuje? Przekonamy się już jutro.