Facebook hackade

Facebook gick precis ut med nyheten att 50 miljoner Facebook-konton kan vara hackade. Intrången genomfördes via funktionen ”View as”, dvs den funktion som gör att du kan se hur din profilsida ser ut genom någon annans ögon.

Sårbarheten som utnyttjades är intressant på flertalet sätt. Facebook vet själva inte om omfattningen ännu men håller på att utreda detta.

Mark Zuckerberg skriver själv följande:

We do not yet know whether these accounts were misused but we are continuing to look into this and will update when we learn more.

Först och främst spelade det inte någon roll om du hade förstärkt din inloggning med tvåfaktorsautentisering. Sårbarheten introducerades Juli 2017 efter en ändring gällande video-uppladdning.

Angriparna hade möjligheten att erhålla en belöningssumma från Facebook ”bug bounty” som troligtvis var rätt hög. Facebook har nu åtgärdat sårbarheten och helt stängt av den funktion som var sårbar.

Det angriparna kom över var så kallade access token, dessa kan sedan användas till att komma åt det mesta på Facebook som en annan användare. Den felaktiga token genererades på viss information som låg på användarens Facebook-profil såsom videouppladdning i samband med födelsedagshälsning.

Om du har blivit drabbad så har du automatiskt blivit utloggad från Facebook samt när du loggar in så ska du presenteras av ett meddelande om vad som hänt. Facebook jobbar tillsammans med FBI för att utreda vem som ligger bakom denna attack. Vad dessa 50 miljoner konton som har gemensamt vet vi inte i dagsläget men flertalet svenskar skriver på Facebook att de blivit utloggade.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.