Facebook har nu fået kigget nærmere på konsekvenserne af det store sikkerhedshul i virksomhedens systemer, der har påvirket millioner af brugere på det sociale medie. Da virksomheden først fortalte om sagen 28. september, var meldingen, at næsten 50 mio. profiler var berørte af hacket.
For at være på den sikre side valgte Facebook at logge 90 mio. brugere ud af det sociale medie og vise dem en særlig sikkerhedsmeddelelse. Alle disse brugere var i løbet af det seneste års tid blevet indtastet i 'vis som'-funktionen, der gør det muligt at se, hvordan andre ser ens profil.
Det er netop fejl i forbindelse med 'vis som'-funktionen på det sociale medie, der har gjort det muligt at stjæle brugeres access token. Og det er noget skidt, fordi en access token er en slags digital nøgle, der gør det muligt at tilgå en Facebook-profil uden at skulle indtaste brugernavn og adgangskode ved hvert besøg på platformen.
Nu har Facebook fået kigget nærmere på sagen og er nået frem til, at det 'kun' er 30 millioner brugere, der faktisk har fået stjålet deres access tokens som følge af angrebet.
Det fortæller VP of Product Management hos Facebook Guy Rosen mere om i dette indlæg, som er offentliggjort i fredags.
Angrebet kunne lade sig gøre som følge af en flere fejl i Facebook-koden, der i perioden juli 2017 til september 2018 eksponerede brugeres access tokens for uvedkommende. Umiddelbart var det dog først i september i år, sikkerhedshullet blev udnyttet.
Rosen beretter, hvordan Facebook opdagede en usædvanlig aktivitetsstigning, der startede 14. september 2018.
Den 25. september fastslog folkene hos Facebook, at der faktisk var tale om et angreb. Sårbarheden blev identificeret, og hullet blev lukket to dage senere.
Startede med 400.000 profiler
Guy Rosen oplyser, at FBI har bedt Facebook om ikke at tale om, hvem der kan stå bag angrebet. Ifølge Rosens indlæg, at der tale om angribere - i flertal.
Angriberne har haft et vist antal Facebook-konti til at starte med, som har været forbundet til Facebook-venner. Herefter har angriberne anvendt en automatiseret teknik til stjæle access tokens fra venne-profilerne, samt disse profilers venner.
På den måde har angriberne opbygget en base på 400.000 profiler.
Disse profiler er i forbindelse med angrebet blevet indlæst på en måde, så angriberne principielt har kunnet se de samme oplysninger, som profil-ejeren ville se, hvis vedkommende så på sin egen profil. Det omfatter ifølge Rosen tidslinje-indlæg, vennelisten, grupper som profilen er medlem af og navnene på nylige Messenger-samtaler.
Indholdet af Messenger-samtaler har dog typisk ikke været synligt. Dog med en undtagelse. Hvis en af de 400.000 profiler har været Side-administrator, og nogen har sendt Siden en besked, så har indholdet af denne besked været tilgængelig for angriberne.
Via en del af disse profilers vennelister har angriberne stjålet access tokens for omkring 30 mio. brugere, oplyser Rosen.
Hvad 15. mio. profiler angår, har angriberne tilgået navn og kontaktoplysninger (telefonnumre og/eller mails).
Angriberne har også tilgået de samme oplysninger for yderligere omkring 14 mio. brugere. Og derudover har angriberne for disse konti tilgået en række andre oplysninger, som folk har haft på deres profiler.
Ifølge indlægget fra Rosen omfatter disse oplysninger brugernavn, køn, sprog, forholdsstatus, religion, hjemby, nuværende by, fødselsdag, enhed brugt til at tilgå Facebook med (mobil etc.), uddannelse, arbejde, sidste 10 indtjekkede steder/steder profilen har været tagget, website, folk eller Sider profilen følger samt de 15 seneste søgninger.
Endeligt har yderligere 1 mio. brugere fået stjålet deres access tokens, men her har angriberne ifølge Rosen ikke tilgået nogen oplysninger.
Besked fra Facebook
Facebook-brugere kan se, om de er ramt af angrebet ved at gå ind på Facebooks support-side. Hvis den er gal, vil det fremgå af en besked på siden.
Derudover vil Facebook i løbet af de kommende data sende en tilpasset besked til de 30 mio. brugere og forklare, hvilke oplysninger, angriberne kan have tilgået.
Guy Rosen fortæller, at beskeden også vil indeholde en vejledning i at beskytte sig selv i forhold til mistænkelige opkald, mails og sms'er.
Tilpasningen skal ifølge et eksempel på beskeden i Rosens indlæg forstås sådan, at den ene bruger kan få besked om, at lokationsdata er lækket, mens en anden bruger får at vide, det drejer sig om indlæg på vedkommendes tidslinje, der kan være blevet tilgået af uvedkommende.
Det britiske medie The Register bemærker, at de kompromitterede oplysninger stort set er alt, hvad en angriber kan ønske sig for at kunne besvare sikkerhedsspørgsmål på et site og derved opnå adgang til en online-konto af en art.
The Register har i øvrigt spurgt Facebook, om virksomheden har i sinde at om virksomheden har i sinde at betale for en løbende overvågning af, om brugerne er ramt af identitetstyveri.
»Ikke på nuværende tidspunkt,« oplyser en unavngiven talsperson fra Facebook til mediet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
