Hacknutý Facebook
5. 10. 2018
Hacknutý Facebook

V pátek 28. září Facebook oznámil bezpečnostní incident a odhlásil 90 milionů lidí z jejich účtů. Možná i vy jste byli mezi nimi a museli pracně vzpomínat na své heslo. S největší pravděpodobností jste ovšem tento incident zaznamenali i v případě, že tomu tak nebylo, neboť o hacknutém Facebooku se psalo a stále píše dost. Jak to probíhalo, o co se jednalo, a máte se bát?

Průběh

V neděli 16. září si technici společnosti na monitoringu všimli podezřelého nárůstu aktivity uživatelů a začali se touto anomálií zabývat. V úterý 25. září pak zjistili, že se jedná o útok na aktivní relace uživatelů pomocí dosud neznámé zranitelnosti. Ve středu informovali příslušné úřady, jak GDPR přikazuje, ve čtvrtek opravili danou zranitelnost a začali odhlašovat ovlivněné i potencionálně ovlivněné uživatele. V pátek pak vydali oficiální vyhlášení na svých stránkách. Dle facebooku se útok dotkl 50 milionů účtů a dalších 40 milionů pak bylo odhlášeno preventivně, neboť se nedalo vyloučit, že se také staly obětmi.

 

Co se stalo

Během útoku byly ukradeny pouze identifikátory aktuálních relací, ne uživatelská hesla. To je důvod, proč byly napadené účty odhlášeny, neboť při odhlášení se tyto identifikátory zneplatní a již není možnost je využít pro přístup k danému účtu. Zároveň se bez znalosti hesla nedají obnovit a napadené účty už by měly být nyní již v bezpečí. Stejně tak, pokud jste nebyli odhlášeni a chcete si být jisti vaší bezpečností, stačí se odhlásit a znovu přihlásit na každém zařízení.  Prověřit nedávnou aktivitu na svém účtu a zjistit, zda neproběhlo podezřelé přihlášení, můžete přes Nastavení a „Zabezpečení a přihlašování“. V okně „Kde jste přihlášeni“ uvidíte aktivitu na účtu.

Kolik soukromých informací stihli útočníci zcizit a jak s nimi naloží dál, to zůstává otázkou. Na základě dosavadního vyšetřování byly z účtů údajně stahovány pouze základní informace o profilu, jako jméno, místo bydliště a podobné, nedotkli se však zveřejněných příspěvků, či soukromých zpráv a účty nebyly zneužity aktivním způsobem (například přidáváním příspěvků).

Ačkoli údajně méně než 10% zasažených uživatelů bylo z Evropské Unie, může být tento incident vyhodnocen jako porušení obecného nařízení o ochraně osobních údajů (GDPR). Vzhledem k tomu, že ústředí pro Evropu má Facebook v Irsku, zabývá se případem aktuálně Ireland’s Data Protection Commission (Irská komise pro ochranu údajů). V tom nejhorším případě hrozí Facebooku pokuta až 1.6 mld $.

Jak dlouho to trvalo

Jak se dá z oficiálních prohlášení odvodit, útok byl detekován již 16. září a až ve čtvrtek 27. září byla zranitelnost opravena. Aktivní masivní útok tedy mohl trvat i více než 11 dní. Nicméně toto je útok, který byl detekován, neboť ovlivnil mnoho uživatelských účtů. Všechny tři zranitelnosti, jejichž kombinace vedla k možnosti zcizení relace, byly na Facebooku přítomné již od července roku 2017. Zůstaly tedy nepovšimnuty „hodnými hackery“ více než rok a mohly být po celou tuto dobu zneužívány v menším měřítku.

Oprava

Facebook tvrdí, že již ve čtvrtek 27. září, tedy ještě před samotným ohlášením incidentu, chybu opravil. Pravdou je, že již není možné útok provést, nicméně slovo „opravil“ je poněkud přehnané. Uživatelskou relaci bylo možné ukrást zřetězením tří zranitelností, přičemž prvním krokem bylo využití funkce „View as“ na vlastním profilu, v češtině „Zobrazit jako“, která umožňovala zkontrolovat, jak se váš profil zobrazuje jiným uživatelům. Oprava chyby pak spočívala v dočasném odstranění této funkcionality; na svém profilu ji aktuálně nenajdete. Předpokládáme však, že po důkladném prošetření a opravě bude do profilů opět přidána.

Technické detaily

Pro ty, které to zajímá, přidáváme i technické detaily útoku, respektive popis tří zranitelností, které dohromady vedly k možnosti zcizit relaci. Zjednodušený popis je převzat přímo z oficiálního vyjádření Facebooku:

Zobrazit jako

Tlačítko „zobrazit jako“ umožňovalo zobrazit svůj profil z pohledu jiného uživatele. Prohlížení profilu v tomto módu by mělo být pouze pasivní, nicméně bug v jedné z funkcí umožňoval nahrát v tomto módu video. Tou funkcí byla možnost popřát vám všechno nejlepší k narozeninám, to okýnko, které vám vždy připomíná, že někdo z přátel slaví narozeniny a měli byste mu popřát vše nejlepší. V náhledu by údajně nemělo být, nicméně zůstávalo zobrazeno.

Video uploader

Nová verze video uploaderu obsahovala bug, který při uploadu vygeneroval přístupový token se stejnými právy jako mobilní aplikace a vložil ho do html kódu. Právě tato chyba je ta, která byla v kódu přítomná od července roku 2017.

Zobrazit jako a video upload

V momentě, kdy byl upload videa přes přání k narozeninám využit v módu „zobrazit jako“, vygeneroval při nahrání videa platný přístupový token. Ovšem platný ne pro váš uživatelský účet, nýbrž pro účet, který jste vybrali pro „zobrazit jako“.

Tímto způsobem bylo možné získat přístup k účtům vašich přátel a z nich pak k účtům jejich přátel a tak dále. Jak to tak často bývá, ty nejzávažnější chyby nejsou technicky náročné a k jejich nalezení a zneužití není potřeba velká technická znalost. Spíše všímavost, postřeh a v mnoha případech také štěstí.

Adéla Haníková

Adéla Haníková
Security Specialist

AEC a.s.
Security Assessment Division