Fejlfyldt fødselsdagsfunktion bag Facebooks sikkerhedsbommert

Illustration: newsroom.fb.com
En fejl i en lykønskningsfunktion på Facebook gjorde det muligt for uvedkommende at tilgå brugerprofiler.

Flere fejl i forbindelse med en lykønskningsboks har gjort det muligt for uvedkommende logge ind på millioner af Facebook-brugerens konti.

I sidste uge kom det frem, at Facebook har opdaget et gigantisk sikkerhedshul, der i udgangspunktet berører næste 50 mio. brugerkonti. Hvad det nærmere bestemt indebærer, er virksomheden ifølge et indlæg fra produktchef ved virksomheden Guy Rosen ved at undersøge.

Pedro Canahuati har titel af Vice President for Engineering, Security and Privacy ved Facebook. Under Guy Rosens indlæg fortæller Canahuati lidt nærmere om de tekniske detaljer bag sikkerhedshullet.

Sårbarheden relaterer sig til 'Vis som'- eller 'View As'-funktionen i Facebook, der gør det muligt for en bruger at se, hvordan andre brugere ser ens profil.

I den forbindelse er der - fejlagtigt - blevet renderet en lykønskningsboks på sitet, som en angriber har kunnet bruge til at overtage en anden brugers profil med.

Ny funktion til upload af video

Sikkerhedshullet opstår som følge af flere forskellige fejl, forklarer Pedro Canahuati i indlægget.

Når bruger A vil se, hvordan bruger B ser bruger A's profil, så kan der opstå en situation, hvor bruger A fejlagtigt har fået muligheden for at poste en video i anledning af en Facebook-vens fødselsdag på vegne af bruger B.

I juli 2017 introducerede Facebook en ny video-uploadningsfunktion. Denne funktion har fejlagtigt genereret en såkaldt 'access token'.

Det er en slags digital nøgle, der i dette tilfælde giver de samme rettigheder, som en bruger har, når han eller hun er logget på Facebook-app'en til mobiltelefoner.

Når den nye video-uploader er dukket op hos bruger A, der er i gang med at 'View As' bruger B's profil, så er der genereret en access token for bruger B, som bruger A frit har kunnet tilgå i den underliggende HTML-kode.

Facebook har foreløbigt deaktiveret ‘Vis som’-funktionen. Facebook vurderer som nævnt, at næsten 50 mio. brugere er berørt af sårbarheden. For at være på den sikre side har virksomheden nulstillet access token for ca. 90 mio. brugere. Det er det antal brugere, som i løbet af det seneste år har optrådt i ‘Vis som’-sammenhæng.

Disse vil opleve at være blevet logget ud af Facebook. Når de logger ind igen, vil det blive mødt af en sikkerhedsbesked personligt henvendti toppen af deres nyhedsfeed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere