Jelen állás szerint nincs arra utaló jel, hogy a támadók külső oldalakon használták volna fel a hamis tokeneket - jelentette be a Facebook. A múlt heti támadás nyomán felmerült ugyanis, hogy nem csak a Facebook oldalán, hanem külső, a Facebook Logint támogató oldalakon is visszaélhettek a hamis hozzáférési kulcsokkal.

Mint arról korábban beszámoltunk, a Facebook weboldalának hibája miatt illetéktelenek tudtak hozzáférési kódot (tokent) generálni, amellyel tetszőleges felhasználókat tudtak megszemélyesíteni (részletek előző cikkünkben). Ez a módszer nem nyúl a jelszavakhoz és például a kéttényezős belépéshez, hanem egészen egyszerűen megkerüli a teljes beléptetési procedúrát és a belépett felhasználóval azonos jogosultságot ad a támadónak - emiatt jelszót cserélni is felesleges.

Az új problémát az jelenti, hogy a kiadott tokenekkel a felhasználók nem csak a Facebook oldalához, hanem rengeteg más felülethez is hozzá tudnak férni, a Spotify-tól változatos webshopokig. Az elmúlt napokban a Facebook biztonsági szakemberei ezeket a hozzáféréseket is megvizsgálták, a cég egyetlen olyan esetet sem talált, ahol a hamis tokenekkel a támadók külső szolgáltatásokhoz fértek volna hozzá.

A Facebook egyelőre nem tisztázta pontosan, hogy a támadás pontosan mennyi ideig tartott és pontosan hány felhasználó tokenjét tudták a támadók meghamisítani. A spekulációk szerint azonban a cég a tömeges hozzáférés előtt (vagy alatt) elcsípte a támadást, így a profiladatokat legyűjtő támadást viszonylag korán sikerült leállítani, a hibát pedig foltozni. Arra is vannak nem hivatalos utalások, hogy szofisztikált visszaélés nem történt, a támadók nem aknázták ki a hihetetlen mélységű hozzáférést nyújtó kulcsokat, csupán adatgyűjtésre akarták használni, a felhasználók nevében komplex interakciókat (posztokat, Messenger-üzeneteket, lájkokat, stb.) nem végeztek. Ezeket az iparági pletykákat a Facebook egyelőre nem erősítette meg.

A helyzetet bonyolítja, hogy a cégnek csak azokra a Facebook Login-belépésekre van rálátása, amelyekhez a fejlesztők a hivatalos SDK-t használták fel. Ez ugyanis belépéskor ellenőrzi a token érvényességét, így a múlt héten tömegesen érvénytelenített tokenekkel ez is védettséget nyert. Azonban azok az online szolgáltatások, amelyek nem az SDK-t használják, a tokenek érvényességét nem ellenőrzik rendszeresen, így megtörténhet, hogy ezekhez a támadók továbbra is hozzáféréssel rendelkeznek. A Facebook ezért most egy olyan eszközt épít, amellyel a fejlesztők ellenőrizni tudják, hogy a tokennel bejelentkezett felhasználók hozzáférése továbbra is érvényes-e, és ki tudják léptetni azokat, amelyeké nem az.

A fenti példa miatt a Facebook kéri a fejlesztőket, hogy a Facebook Loginhez a hivatalos SDK-t használják. Ez alapból naponta ellenőrzi a megadott tokenek érvényességét és a felhasználót kilépteti ahogy a token érvényét veszti. Értelemszerűen ez egy réteg biztonságot ad abban az esetben, ha a tokent valahogyan támadók szerzik meg, akár a fiók feltörésével, akár, mint a fenti esetben, a hamis tokenek létrehozásával.