Mattot kapott a Facebook

Rendkívül súlyos biztonsági incidenst jelentett be a Facebook péntek délután. A hivatalos közlés szerint múlt héten kedden, szeptember 25-én figyelt fel a vállalat arra, hogy egy biztonsági rés van az oldal kódjában, amely lehetővé teszi illetéktelenek számára a hozzáférést tetszőleges felhasználó fiókjához. A rést a vállalat azonnal foltozta, azonban így is mintegy 50 millió felhasználói fiókot érintett az incidens.

A Facebook közlése szerint a biztonsági rés nem elméleti jelentőségű, azt támadók ténylegesen ki is használták, vagyis vissza tudtak élni a hozzáféréssel. A cég az elhárítás részeként mintegy 90 millió potenciálisan érintett felhasználót kiléptetett minden felületről, ezzel a megszerzett hozzáférések is semmissé váltak. Kommunikációban a Facebook kitett magáért, a cég részletes jelentést tett közzé, illetve publikálta két sajtós konferenciahívás átiratát is.

Mi történt pontosan?

A Facebook viszonylag részletesen közölte az incidens műszaki részleteit. A leírás szerint három különböző hiba együtt vezetett az adatszivárgáshoz, ezek közül az első a "View As" (Megtekintés mint) funkcióban található. Ez a régóta elérhető képesség lehetővé teszi a felhasználónak, hogy mások szemszögéből nézzen rá saját profiljára - így például megnézhetjük, hogy mit látnak a mi profilunkon a különböző ismerősök, idegenek, vagy éppen a kollégák. A funkció hasznos adatvédelmi szempontból, a sok (és sokszor átláthatatlan) adatvédelmi beállítások eredményeit egyértelműen mutatja, így meggyőződhetünk róla, hogy ha valamit elrejtenénk valaki elől, akkor az tényleg el is tűnik.

A "View As" oldalon azonban tévedésből fennmaradt a videós feltöltés linkje a bejegyzésszerkesztőben (egészen pontosan annak is egy alváltozatában, amellyel születésnapi köszöntéseket lehet írni). Ez a videófeltöltő pedig 2017 júliusa óta tartalmaz egy apró hibát, el lehet érni ugyanis, hogy egy hozzáférési tokent generáljon saját hatáskörben. És végül a harmadik hiba: a tokent nem a bejelentkezett, legitim felhasználó számára generálja, hanem annak, akinek szemszögéből éppen néznénk az oldalt, vagyis aki számára a születésnapi videót közzétesszük.

^{Akcióban az SSO.}

Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?

A token pedig az igazi "Szezám tárulj!" a Facebook infrastruktúráján: az egységes bejelentkezés (SSO, Single Sign-On) koncepciónak megfelelően az érvényes token nem csak az eredeti felületen igazolja a felhasználót, hanem más felületeken, alkalmazásokban, webes szolgáltatásokban is. Magyarán a token birtokában a támadó minden létező felületen bejelentkezett Facebook-felhasználóként működhetett és teljes hozzáféréssel rendelkezett mindenhez, amihez egyébként hozzáférne. A gyakorlatban ez könnyen kipróbálható: ha a Facebookba be vagyunk lépve, akkor tetszőleges, Facebook-bejelentkezést támogató oldalt használhatunk, a jelszavunkat nem kell már megadni.

Érdemes megjegyezni azt is, hogy mi az, amihez nem férhetett hozzá a támadó: az egyik ilyen a jelszó. Azt ugyanis a Facebook nem mutatja meg semmilyen formában, ráadásul a jelszóváltoztatáshoz szükség van az eredeti jelszóra, így ez az opció sem volt elérhető - így jelszót cserélni is felesleges, azokat nem érintette a támadás. Ha pedig a jelszavaknál tartunk: a támadás ellen a kéttényezős azonosítás sem segít, a token birtokában eleve belépett felhasználót látott a Facebook, így a második tényező (ahogy az első) is hatástalan maradt.

Az SSO-funkció azonban azt jelenti, hogy a támadók mindenhez hozzá tudtak férni, amihez a Facebook-token elegendő. Így különböző, a facebookos belépéshez kötött alkalmazásokba (például Instagram) tudtak belépni és onnan adatot kinyerni - legalábbis potenciálisan. Egyelőre ugyanis nincs arra utaló jel, hogy ez meg is történt volna, igaz, az ezzel kapcsolatos nyomozás még nagyon az elején jár.

A potenciálisan érintett felhasználók tömeges kiléptetése is ehhez köthető, az ő tokenjeiket a rendszer érvénytelenítette, az új belépés pedig automatikusan újat generált. Ezzel a támadók által megszerzett belépés is hatástalanná vált, azzal immár semmilyen információhoz nem tudnak hozzáférni.

A Facebook egyelőre nem tud biztosat állítani a támadók kilétéről és arról sem, hogy az adatokkal bármilyen formában visszaéltek volna. Azt sem tudni, hogy egészen pontosan milyen információkat gyűjtöttek be, milyen interakciókat végeztek (üzeneteket küldtek, posztoltak, lájkoltak, stb.) a támadók, megszemélyesítve az igazi felhasználókat. A helyzetet nagyban súlyosbítja, hogy a Facebook valószínűleg nagyon nehezen fogja majd megkülönböztetni a valódi felhasználók aktivitását a támadókétól, hacsak utóbbiak valamilyen automatizált eszközzel nem hagytak egyértelmű nyomot maguk után.

Tanulságok?

"Move fast and break things" - így hangzott a Facebook egyik alapvető mottója 2014-ig (szabad fordításban: fejlessz gyorsan és ne törődj azzal, ha bizonyos funkciók nem működnek). A cég a megbízhatósággal és a stabilitással szemben egyértelműen a fejlesztés sebességét emelte a legfontosabb céges értékké, ez pedig annak ellenére része a vállalati kultúrának, hogy a mondás élét 2014-ben némileg tompította Mark Zuckerberg. A gyors fejlesztéssel azonban nem csak a stabilitást kell beáldozni, hanem a biztonságot is. Ha sebtében összerakott funkciók alapos tesztelés és kimerítő vizsgálat nélkül mennek élesbe, akkor ott könnyen becsúszhatnak olyan hibák, mint a fenti példában.

És szoftverhibák bárhol előfordulhatnak, a kritikus infrastruktúrában utazó Cisco például rendszeresen írtja a korábban beültetett backdoorokoat a szoftvereiből, a Facebook esete mégis nagyon más. Ez a cég ugyanis több milliárd ember legfontosabb adatait őrzi, személyes információikat, kommunikációikat, fotóikat és változatos interakcióikat - ezek töredéke is képes megborítani egy demokráciát, a tömeges adatszivárgás következményei pedig beláthatatlanok.

Ennek fényében egészen abszurd, hogy a cégtől nemrég távozó Alex Stamos CISO (információbiztonsági igazgató) helyére a Facebook azóta sem nevezett ki senkit, sőt, a pozíciót is megszüntette. Ezzel párhuzamosan a dedikált infobiztonsági csapatot is felszámolta a Facebook, a biztonsági mérnököket pedig szétosztotta a különböző divíziók között, így a termékfejlesztés szerves részét képezik. Mindezt akkor a vállalat azzal indokolta, hogy így jobban meg tud felel a biztonsági fenyegetéseknek.

De nem csak a Facebook számára lesz tanulságos a súlyos adatbiztonsági incidens. Azt az uniós szervek is mérlegelhetik, hogy az automatizált szűrőrendszerek milyen hatással vannak a közösségi kommunikációra: a Facebook spamszűrői ugyanis pénteken egyszerűen letiltották az incidensről beszámoló népszerűbb cikkek publikálását, a hirtelen megugró aktivitás miatt szemétnek címkézve azokat. Az EU ugyanis most írja elő ilyen automatizált szűrők használatát webszerte, igaz, nem szemétszűrés, hanem szerzői jogok védelme miatt.

GDPR, helló

A rendkívül súlyos biztonsági incidens az új európai adatvédelmi szabályozás, a GDPR egyik első komoly próbája lesz - ez már most biztosra vehető. A szabályozás ugyanis előírja az adatokat tároló szereplők számára az adatok elvárható szintű védelmét. Ezzel a GDPR nem az adatvesztés tényét teszi büntethetővé, hanem a különösen hanyag adatkezelést. Nem véletlen, hogy az eset kapcsán már az illetékesek is megnyilvánultak: Vera Jourová adatvédelemért is felelős uniós biztos együttműködésre sürgette a Facebookot, az illetékes ír adatvédelmi hatóság szintén azt nyilatkozta, hogy információt kért be az incidenssel kapcsolatban a Facebooktól.

A jól megtervezett kommunikációs stratégia itt is szépen működik, a Facebook azonnal együttműködéséről biztosította az ír hatóságot és megígérte, hogy azonnal átadja a kért információkat, ahogy azok elérhetővé válnak. Az szinte biztosra vehető, hogy az ügyben vizsgálat indul majd, annak megítélése pedig, hogy hanyag volt-e a Facebook, e vizsgálattól függ majd. A tét nem kicsi, az elméleti maximális büntetési tétel mintegy 1,6 milliárd dollár is lehet, ami még a Facebook mértékével mérve sem aprópénz.