Facebook botrány: 29 millió felhasználó személyes adatait vitték

Tovább göngyölődik a Facebook biztonsági botránya: a közösségi oldal két hete számolt be róla, hogy token-generátorának hibája miatt mintegy 50 millió felhasználójának fiókjaihoz kaphattak hozzáférést illetéktelenek. A vállalat frissen kiadott közleményéből most kiderült, a támadás valójában ennél számottevően kevesebb, mintegy 30 millió felhasználót érintett, akik közül 29 millió esetében fértek  hozzá illetéktelenek személyes adatokhoz.

Mint arról korábban beszámoltunk, a Facebook weboldalának hibája miatt ismeretlen támadók hozzáférési tokeneket tudtak generálni, amellyel az érintett felhasználókat személyesíthették meg az oldalon. Ez a módszer nem nyúl a jelszavakhoz és például a kéttényezős belépéshez, hanem egészen egyszerűen megkerüli a teljes beléptetési procedúrát és a belépett felhasználóval azonos jogosultságot ad a támadónak - emiatt jelszót cserélni is felesleges.

A Facebook szerint a támadást megelőzően az elkövetők már irányításuk alatt tartottak bizonyos mennyiségű fiókot, amelyekhez már meglévő ismerőscsoportok tartoztak. Fiókjaikon keresztül először ezektől az ismerősi profiloktól tudták egy automatizált módszerrel megszerezni biztonsági tokenjeiket - ezzel első körben mintegy 400 ezer felhasználó fiókjához fértek hozzá. Utóbbi profilok egy részével a folyamatot megismételve aztán a támadók összesen 30 millió felhasználó hozzáférési tokenjeit gyűjtötték be.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

Az érintettekből 15 millió fióknál az elkövetők két fő adatot nevüket és email címüket szerezték meg, illetve ha meg volt adva a profilon, telefonszámukat is. További 14 millió felhasználó esetében a felsoroltak mellett minden, a fiókhoz megadott információt letöltöttek a támadók, beleértve a felhasználónevet, a beállított nyelvet, nemet, vallást, párkapcsolati státuszt, szülővárost és aktuális tartózkodási helyet, születési dátumot, a facebookozáshoz használt eszköztípusokat, képzettséget, munkahelyet, saját weboldalt, a követett oldalakat, sőt a legutóbbi tizenöt keresést, illetve a legutóbbi tíz helyet is, ahol a felhasználó bejelentkezett. Egymillió szerencsésebb felhasználó esetében, akik profilját az automatizált módszerrel a támadók elérték, semmilyen nem publikus információhoz nem tudtak hozzáférni.

A vállalat szerint lehetséges, hogy kisebb kaliberű támadások is zajlottak az elmúlt időszakban az információk birtokában, ezek felkutatás most is zajlik. A Facebook ígérete szerint a napokban minden érintettet személyre szabott üzenetben figyelmeztet majd a történtekről, amelyben részletezi, milyen adataikhoz férhettek hozzá a támadók, illetve milyen lépéseket kell tenniük fiókjuk védelme érdekében, az esetleges emailes vagy telefonos phishing támadásokra is kitérve. A felhasználók emellett a Facebook Help Centeren keresztül is ellenőrizhetik, veszélybe kerültek-e adataik.