Из 50 млн аккаунтов в Facebook, чьи токены авторизации могли быть украдены в ходе недавней атаки, лишь 30 млн оказались действительно скомпрометированы. Об этом сообщил вице-президент продуктового департамента компании Гай Розен (Guy Rosen). Как следует из его заявления, в половине случаев киберпреступники получили доступ лишь к именам и контактным данным пользователей, однако из ряда профилей могла быть похищена полная информация об их владельцах.

Представитель Facebook еще раз подтвердил, что утечка стала возможна из-за трех разных ошибок в коде сервиса, которые привели к некорректной работе функции «Посмотреть как». Эксплуатация багов позволяла получать токены авторизации, принадлежащие виртуальным друзьям владельца скомпрометированного аккаунта.

Изначально злоумышленники использовали принадлежащую им сеть учетных записей с большим количеством подписчиков. При помощи вредоносного скрипта им удалось добыть токены в общей сложности 400 тыс. человек. Киберпреступники применяли макрос для просмотра постов, опубликованных на странице пользователя, списка групп, в которых он состоит, и заголовков последних бесед в мессенджере. В Facebook подчеркивают, что содержимое личной переписки не попало в руки мошенников.

На втором этапе атакующие взяли на вооружение часть списка друзей уже скомпрометированных аккаунтов, чтобы украсть ключи идентификации еще 30 млн пользователей. Как утверждает Гай Розен, у 15 млн человек были похищены имена, контактные телефоны и адреса электронной почты, указанные в профиле. Еще в 14 млн случаев киберпреступники получили доступ к дополнительной информации, включающей пол, возраст, место работы, религиозные убеждения и другие сведения, размещенные на странице. Взлом 1 млн аккаунтов не привел к утечке персональной информации.

Атака не затронула другие сервисы, ассоциированные с Facebook, такие как Instagram, WhatsApp и Messenger. Представители компании совместно с ФБР ведут расследование инцидента, однако по просьбе правоохранительных органов не дают комментариев по поводу личности злоумышленников, стоящих за нападением.

Подозрительная активность, связанная с манипуляцией с токенами авторизации, впервые была зафиксирована Facebook 14 сентября 2018 года, однако лишь спустя 11 дней ее квалифицировали как кибератаку. Разработчики социальной сети перевыпустили токены для всех аккаунтов, которые могли быть затронуты нападением, и временно отключили функцию «Посмотреть как».

Категории: Главное, Уязвимости, Хакеры