Facebook признал, что злоумышленники получили номера телефонов и электронные адреса 30 миллионов пользователей

По версии компании, ФБР попросило пока не раскрывать, кто мог стоять за атакой.

Facebook рассказал о том, что хакеры украли ключи доступа (токены) к страницам 30 миллионов пользователей через баг в функции просмотра страницы от имени другого человека. Это позволило злоумышленникам получить доступ к приватным данным, среди которых номера телефонов и адреса электронной почты.

В соцсети рассказали, что атака достигла таких масштабов из-за эффекта «вируса». Сначала хакеры получили доступ к 400 тысячам аккаунтов, которые были соединены с друзьями, а затем использовали автоматический метод перемещения от аккаунта к аккаунту и крали токены.

В процессе работы злоумышленники получили «отражения» профилей этих пользователей, включая посты из их ленты, списки друзей, группы, в которых те состоят и имена из последних бесед в Messenger. Как отметили в компании, содержание самих сообщений осталось недоступным, если только речь не об общении от имени группы, в которой пользователь был администратором.

Благодаря списку друзей 400 тысяч пользователей хакеры смогли украсть токены у 30 миллионов человек. Злоумышленники завладели личными данными пользователей, включая номера телефонов, адреса электронных почт и не только. Для 15 миллионов злоумышленники получили доступ только к двум видам информации — именам и контактным данным, включая номера телефонов и электронную почту. Для других 14 миллионов пользователей хакеры помимо этого получили доступ к более расширенной личной информации.

Далее...

Facebook заявил об ошибке безопасности, позволяющей захватить страницу. Она коснулась 90 миллионов пользователей

Всех, кого могла затронуть ошибка, соцсеть попросила повторно авторизоваться.

Инженеры Facebook нашли ошибку безопасности, которая позволяла получить доступ к аккаунтам 50 миллионов пользователей. Уязвимость обнаружили в функции просмотра своей страницы от имени других пользователей.

Компания только начала расследование, точная причина ошибки неизвестна. На всякий случай соцсеть «выкинула» с сайта 40 миллионов человек, заставив их авторизоваться заново.

Соцсеть объяснила, что воспринимает проблему «невероятно серьёзно» и хочет, чтобы все знали о случившемся. Баг позволял украсть ключи доступа (токены) к странице и использовать их для захвата профиля. Как объяснили в Фейсбуке, токены можно считать цифровыми ключами, которые позволяют пользователям оставаться авторизованными на сайте без необходимости каждый раз заходить заново.

Сервис рассказал, что сразу предпринял несколько действий по решению проблемы: закрыл уязвимость и проинформировал правоохранительные органы. Кроме того, компания обнулила ключи доступа для 50 миллионов человек и готовится сделать то же самое ещё для 40 миллионов пользователей — им всем придётся заново зайти в соцсеть с паролем.

Пользователей «выкинет» из всех приложений, где они были авторизованы через Фейсбук, например Tinder или Facebook Messenger. После авторизации верху новостной ленты они увидят уведомление о том, что произошло.

Далее...

Во «ВКонтакте» обнаружили баг, позволяющий просмотреть пользователей приложений

Например, можно увидеть, кто авторизовался на Pornhub через свой профиль в соцсети.

Пользователи нашли баг в разделе поиска по людям во «ВКонтакте», который позволяет узнать, кто использовал то или иное приложение. Для использования уязвимости достаточно подставить числовой идентификатор приложения со знаком минус в ссылку вида «https://vk.com/search?c[photo]=0&c[group]=[идентификатор]».

Многие сервисы используют приложения «ВКонтакте» для авторизации на своих сайтах, поэтому с помощью бага можно узнать конфиденциальную информацию, например, кто из пользователей соцсети авторизовался на Pornhub. Порносайт использует специальное приложение с идентификатором 6095035 для проверки возраста всех российских пользователей.

Если подставить это числу в ссылку, то можно увидеть, что около 2,9 миллионов человек авторизовались на Pornhub через «ВКонтакте».

TJ обратился за комментарием к «ВКонтакте».

Google рассказала об уязвимости в браузере Microsoft Edge до выхода патча

Компания предупредила разработчиков заранее, но исправления так и не подготовили.

В ноябре 2017 года специалисты Google обнаружили уязвимость в браузере Microsoft Edge, который встроен в систему Windows 10 по умолчанию. Исследователи дали компании 90 дней на исправления ошибки, так как её отнесли к «среднему» уровню угрозы. После этого детали уязвимости пообещали опубликовать в открытом доступе. Об этом сообщает сайт Neowin.

Разработчики не успели подготовить патч вовремя и попросили дать им больше времени. Тогда в Google добавили к трём месяцам ещё две недели, но специалисты Microsoft заявили, что «патч оказался более сложным, чем они думали». Инженер Google отметил, что точная дата исправления этой ошибки до сих пор неизвестна.

Уязвимость в Edge связана с использованием памяти ядра. В феврале 2017 года Microsoft объявила, что будет использовать систему Arbitrary Code Guard (ACG) в браузере. Она изолирует в отдельный процесс компиляторы Just-in-Time (JIT), отвечающие в том числе за обработку JavaScript.

Технически, эта мера была направлена на то, чтобы обезопасить пользователей, но оказалось, что связь между изолированным JIT и основным исполняемым кодом браузера можно скомпрометировать. Уязвимость позволяет создать в памяти исполняемую страницу.

Далее...


Последние посты