Facebook botrány: 29 millió felhasználó személyes adatait vitték

Tovább göngyölődik a Facebook biztonsági botránya: a közösségi oldal két hete számolt be róla, hogy token-generátorának hibája miatt mintegy 50 millió felhasználójának fiókjaihoz kaphattak hozzáférést illetéktelenek. A vállalat frissen kiadott közleményéből most kiderült, a támadás valójában ennél számottevően kevesebb, mintegy 30 millió felhasználót érintett, akik közül 29 millió esetében fértek  hozzá illetéktelenek személyes adatokhoz.

Mint arról korábban beszámoltunk, a Facebook weboldalának hibája miatt ismeretlen támadók hozzáférési tokeneket tudtak generálni, amellyel az érintett felhasználókat személyesíthették meg az oldalon. Ez a módszer nem nyúl a jelszavakhoz és például a kéttényezős belépéshez, hanem egészen egyszerűen megkerüli a teljes beléptetési procedúrát és a belépett felhasználóval azonos jogosultságot ad a támadónak - emiatt jelszót cserélni is felesleges.

A Facebook szerint a támadást megelőzően az elkövetők már irányításuk alatt tartottak bizonyos mennyiségű fiókot, amelyekhez már meglévő ismerőscsoportok tartoztak. Fiókjaikon keresztül először ezektől az ismerősi profiloktól tudták egy automatizált módszerrel megszerezni biztonsági tokenjeiket - ezzel első körben mintegy 400 ezer felhasználó fiókjához fértek hozzá. Utóbbi profilok egy részével a folyamatot megismételve aztán a támadók összesen 30 millió felhasználó hozzáférési tokenjeit gyűjtötték be.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Az érintettekből 15 millió fióknál az elkövetők két fő adatot nevüket és email címüket szerezték meg, illetve ha meg volt adva a profilon, telefonszámukat is. További 14 millió felhasználó esetében a felsoroltak mellett minden, a fiókhoz megadott információt letöltöttek a támadók, beleértve a felhasználónevet, a beállított nyelvet, nemet, vallást, párkapcsolati státuszt, szülővárost és aktuális tartózkodási helyet, születési dátumot, a facebookozáshoz használt eszköztípusokat, képzettséget, munkahelyet, saját weboldalt, a követett oldalakat, sőt a legutóbbi tizenöt keresést, illetve a legutóbbi tíz helyet is, ahol a felhasználó bejelentkezett. Egymillió szerencsésebb felhasználó esetében, akik profilját az automatizált módszerrel a támadók elérték, semmilyen nem publikus információhoz nem tudtak hozzáférni.

A vállalat szerint lehetséges, hogy kisebb kaliberű támadások is zajlottak az elmúlt időszakban az információk birtokában, ezek felkutatás most is zajlik. A Facebook ígérete szerint a napokban minden érintettet személyre szabott üzenetben figyelmeztet majd a történtekről, amelyben részletezi, milyen adataikhoz férhettek hozzá a támadók, illetve milyen lépéseket kell tenniük fiókjuk védelme érdekében, az esetleges emailes vagy telefonos phishing támadásokra is kitérve. A felhasználók emellett a Facebook Help Centeren keresztül is ellenőrizhetik, veszélybe kerültek-e adataik.