Facebook взломан: до 90 млн аккаунтов пользователей подверглось атаке из-за ошибки в коде, компания приносит извинения

Если Вас разлогинило утром в пятницу в Facebook — Вы не одни.

Facebook пострадал от атаки, которой подверглось до 90 млн личных аккаунтов пользователей, сообщила компания.

Уязвимость в коде социальной сети позволила хакерам получить доступ к личной информации как минимум 50, а возможно даже 90 млн пользователей, через брешь в функции «Посмотреть как», которая позволяет просматривать Вашу собственную учетную запись так, как если бы вы были кем-то другим. Воспользовавшись этой уязвимостью хакерам удалось заполучить токены доступа, обеспечивающие безопасность пользователей и затем проникнуть в их учётные записи.

Компания узнала о проблеме ещё во вторник и потребовалось несколько дней, чтоб исправить уязвимость. В результате токены были сброшены, и теперь любой, кто с их помощью попытается подключиться — не сможет этого сделать. А все пользователи, кто использовал функцию «Посмотреть как» на протяжении последнего года, оказались сегодня утром (пятница, по времени EST), после выхода багфикса, разлогинены и вынуждены были логиниться повторно.

«Частная жизнь и безопасность людей невероятно важны, и мы сожалеем, что это произошло», вот такие комментарии можно увидеть сегодня в новостных СМИ, которые в невероятном темпе начали тиражировать эту тему, что бросает тень на репутацию компании.

Но зачем было делать эту информацию публичной?

Дело в новом европейском GDPR, он обязывает компании незамедлительно сообщать о взломах публично, если таковые были, иначе это грозит очень большими штрафами.

Это не первый взлом в Facebook и не последний, многие пользователи всерьез задумались о том, кому и как доверяют свои данные. Ведь Facebook хранит всё, вплоть до Вашей геопозици.

Недавно, согласно законодательству, они просили каждого подтвердить согласие со сбором геоданных ^[1].

Проблема безопасности как никогда актуальна. И потому, наверное не зря, мы выкладываем в сеть перевод курса MIT «Безопасность компьютерных систем» ^[2], хоть и 2014 года, а также другие материалы, касающиеся безопасности, так как основы никогда не теряют своей актуальности и зачастую ошибки повторяются, в том числе в таких крупных компаниях как Facebook, который выкатил содержащий уязвимость апдейт, вместе с изменениями, которые они внесли в загрузчик видео, ещё в июле 2017-го года. И кто знает, насколько уязвимость была сложной, если до сих пор независимые пентестеры её не обнаружили.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? ^[3] (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

VPS ^[4] (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps до декабря бесплатно при оплате на срок от полугода, заказать можно тут ^[5].

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 ^[6] в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки? ^[7]

Автор: HostingManager

Источник ^[8]