Facebook poinformował dziś, że w wyniku luki w oprogramowaniu przestępcy mieli dostęp do 50 milionów kont użytkowników.

Mark Zuckerberg i Facebook podał dziś informację, że w wyniku dziury w oprogramowaniu przestępcy mieli dostęp do 50 milionów kont użytkowników serwisu. W wyniku błędu w funkcji wyświetl jako, za pomocą której możecie podejrzeć jak wygląda wasz profil z perspektywy osoby trzeciej, atakujący przejmowali token sesyjny. Jest to coś w rodzaju cyfrowego klucza za pomocą którego nie trzeba za każdym razem, wchodząc do aplikacji mobilnej lub na stronę internetową, logować się na swoje konto. Dane logowania są w ten sposób zapamiętywane. Według informacji Facebooka nie zostały wykradzione żadne hasła.

Przejęcie tokena sesyjnego umożliwiało atakującym posługiwanie się kontem ofiary tak, jak gdyby to należało do nich. Atakujący miał dostęp do wszystkich danych zawartych na koncie ofiary oraz jego Messengera, pomimo tego, że nie znał hasła, a konto mogło być zabezpieczone dwuetapową weryfikacją. Facebook zresetował już tokeny sesyjne 50 milionów przejętych kont, zresetował także tokeny kolejnych 40 milionów kont, które użyte zostały w ramach funkcji wyświetl jako. Zuckerberg na swoim koncie poinformował także, że dokonano już załatania fatalnej dziury w kodzie usługi.

Jeśli więc musiałeś się dziś logować ponownie do Facebooka to albo twoje konto należy do 50 milionów przejętych kont, albo do 40 milionów tych, które użyte zostały do opcji View as.