Fejlfyldt fødselsdagsfunktion bag Facebooks sikkerhedsbommert

Fejlfyldt fødselsdagsfunktion bag Facebooks sikkerhedsbommert
Illustration: newsroom.fb.com.
En fejl i en lykønskningsfunktion på Facebook gjorde det muligt for uvedkommende at tilgå brugerprofiler.
Reportage2. oktober 2018 kl. 05:12
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Flere fejl i forbindelse med en lykønskningsboks har gjort det muligt for uvedkommende logge ind på millioner af Facebook-brugerens konti.

I sidste uge kom det frem, at Facebook har opdaget et gigantisk sikkerhedshul, der i udgangspunktet berører næste 50 mio. brugerkonti. Hvad det nærmere bestemt indebærer, er virksomheden ifølge et indlæg fra produktchef ved virksomheden Guy Rosen ved at undersøge.

Pedro Canahuati har titel af Vice President for Engineering, Security and Privacy ved Facebook. Under Guy Rosens indlæg fortæller Canahuati lidt nærmere om de tekniske detaljer bag sikkerhedshullet.

Sårbarheden relaterer sig til 'Vis som'- eller 'View As'-funktionen i Facebook, der gør det muligt for en bruger at se, hvordan andre brugere ser ens profil.

Artiklen fortsætter efter annoncen

I den forbindelse er der - fejlagtigt - blevet renderet en lykønskningsboks på sitet, som en angriber har kunnet bruge til at overtage en anden brugers profil med.

Ny funktion til upload af video

Sikkerhedshullet opstår som følge af flere forskellige fejl, forklarer Pedro Canahuati i indlægget.

Når bruger A vil se, hvordan bruger B ser bruger A's profil, så kan der opstå en situation, hvor bruger A fejlagtigt har fået muligheden for at poste en video i anledning af en Facebook-vens fødselsdag på vegne af bruger B.

I juli 2017 introducerede Facebook en ny video-uploadningsfunktion. Denne funktion har fejlagtigt genereret en såkaldt 'access token'.

Det er en slags digital nøgle, der i dette tilfælde giver de samme rettigheder, som en bruger har, når han eller hun er logget på Facebook-app'en til mobiltelefoner.

Når den nye video-uploader er dukket op hos bruger A, der er i gang med at 'View As' bruger B's profil, så er der genereret en access token for bruger B, som bruger A frit har kunnet tilgå i den underliggende HTML-kode.

Facebook har foreløbigt deaktiveret ‘Vis som’-funktionen. Facebook vurderer som nævnt, at næsten 50 mio. brugere er berørt af sårbarheden. For at være på den sikre side har virksomheden nulstillet access token for ca. 90 mio. brugere. Det er det antal brugere, som i løbet af det seneste år har optrådt i ‘Vis som’-sammenhæng.

Disse vil opleve at være blevet logget ud af Facebook. Når de logger ind igen, vil det blive mødt af en sikkerhedsbesked personligt henvendti toppen af deres nyhedsfeed.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger