Studenten ontfutselen Facebook-gegevens met 'imitatie-hack'
Twee studenten zijn erin geslaagd een hack te ontwikkelen waarmee gegevens van Facebook-gebruikers konden worden ontfutseld. De studenten bouwden een script dat zich voordeed als een legitieme website, die toegang had tot Facebook-data.
De studenten, van wie de namen niet bekend zijn, konden van elke ingelogde Facebook-gebruiker de bijbehorende naam ontfutselen wanneer de gebruiker een speciaal geprepareerde webpagina laadde. Van gebruikers die een andere site toegang hadden gegeven tot hun Facebook-account, zoals ESPN, Farmville of The New York Times, kon veel meer informatie worden achterhaald. Dat schrijft beveiligingsbedrijf Sophos.
Het is onduidelijk hoe de hack precies werkte; er zijn geen technische details vrijgegeven. Duidelijk is wel dat de studenten een script bouwden dat zich voordeed als een legitieme website die toegang had tot Facebook-data van gebruikers. Onder andere gegevens als geboortedatum en e-mailadres konden worden achterhaald.
Bovendien was het mogelijk om Facebook-berichten op het profiel van gebruikers te plaatsen, zoals phishing-links. De studenten hebben contact opgenomen met Facebook, dat het lek inmiddels heeft gedicht.
Reacties (31)
Gezien mijn te emotionele reactie, met negatieve commentaren en beoordelingen tot gevolg, herschrijf ik mijn post. Om beschuldigingen ivm fipo voor te blijven, laat ik onderaan echter ook mijn originele post staan.
Persoonlijk snap ik niet dat t.net zoveel aandacht besteedt aan de beveiliging van een website waarvan iedereen die t.net leest intussen weet dat het met die beveiliging op zijn zachtst gezegd geregeld spaak loopt.
Ik zou het dan ook nieuwswaardiger vinden dat t.net eens zou kunnen berichten dat hackers géén enkel gat gevonden hebben in de FB beveiliging, en deze site dus veilig verklaard is.
Wat betreft de actie van de studenten pleit het voor hen dat ze FB op de hoogte gebracht hebben. Niets belet hen echter de bekomen gegevens voor eigen gewin te gebruiken, en het valt dan ook te hopen dat FB naast de reeds genomen acties, zijn zaakjes eindelijk eens op orde gaat brengen.
Ik stel voor dat t.net 1 finaal artikel over Facebook plaatst:
"De beveiliging/privacy van Facebook is verschrikkelijk"
en daarna zwijgt over die ***site. (Waarom heb ik daar ook weer een account?)
Edit: Hoezo is dit ongewenst? Facebook komt niet anders dan negatief in het nieuws. Dus, ofwel zwijgen we met zijn allen over die ***site, ofwel verwijderen we met zijn allen onze account.
Andere crap-producten komen toch ook niet met de regelmaat van een Zwitsers uurwerk in het nieuws?
Persoonlijk snap ik niet dat t.net zoveel aandacht besteedt aan de beveiliging van een website waarvan iedereen die t.net leest intussen weet dat het met die beveiliging op zijn zachtst gezegd geregeld spaak loopt.
Ik zou het dan ook nieuwswaardiger vinden dat t.net eens zou kunnen berichten dat hackers géén enkel gat gevonden hebben in de FB beveiliging, en deze site dus veilig verklaard is.
Wat betreft de actie van de studenten pleit het voor hen dat ze FB op de hoogte gebracht hebben. Niets belet hen echter de bekomen gegevens voor eigen gewin te gebruiken, en het valt dan ook te hopen dat FB naast de reeds genomen acties, zijn zaakjes eindelijk eens op orde gaat brengen.
Ik stel voor dat t.net 1 finaal artikel over Facebook plaatst:
"De beveiliging/privacy van Facebook is verschrikkelijk"
en daarna zwijgt over die ***site. (Waarom heb ik daar ook weer een account?)
Edit: Hoezo is dit ongewenst? Facebook komt niet anders dan negatief in het nieuws. Dus, ofwel zwijgen we met zijn allen over die ***site, ofwel verwijderen we met zijn allen onze account.
Andere crap-producten komen toch ook niet met de regelmaat van een Zwitsers uurwerk in het nieuws?
[Reactie gewijzigd door MtC op donderdag 3 februari 2011 13:50]
Als mensen zich beklagen over losliggende tegels op het fietspad omdat dat een onveilige situatie veroorzaakt, dan roep je toch ook niet "verkoop allemaal je fiets maar lekker".
Facebook hoort gewoon goed om te gaan met de gegevens van hun gebruikers. Geen enkel netwerk is 100% waterdicht, maar je zou er als beheerder van een site met miljoenen gebruikers toch alles aan moeten doen om hier zo dicht mogelijk in de buurt te komen lijkt me.
Facebook hoort gewoon goed om te gaan met de gegevens van hun gebruikers. Geen enkel netwerk is 100% waterdicht, maar je zou er als beheerder van een site met miljoenen gebruikers toch alles aan moeten doen om hier zo dicht mogelijk in de buurt te komen lijkt me.
Bovendien worden ze door dat dit bericht publiekelijk gemaakt wordt, gepushed om het lek te dichten omdat er anders mensen weggaan bij de site.
Er wordt niet verteld hoe het moet, alleen dat het kan, dus Facebook moet nu aan het werk om de maatschappelijke impact zo klein mogeljik te houden.
Ik vind dit persoonlijk een goede aanpak van de "hackers". ZO voorkomen we dat andere partijen hetzelfde doen, en misschien wel jouw gegevens doorverkopen.
Er wordt niet verteld hoe het moet, alleen dat het kan, dus Facebook moet nu aan het werk om de maatschappelijke impact zo klein mogeljik te houden.
Ik vind dit persoonlijk een goede aanpak van de "hackers". ZO voorkomen we dat andere partijen hetzelfde doen, en misschien wel jouw gegevens doorverkopen.
Het lek is al gedicht voordat het online is gekomen lees ik hieruit..De studenten hebben contact opgenomen met Facebook, dat het lek inmiddels heeft gedicht.
En er zouden meer hackers zo moeten werken inderdaad!
Er zijn veel hackers die eerst de betrokken partijen waarschuwen, en vervolgens pas publiceren. Er zijn echter ook meer dan voldoende gevallen - bijvoorbeeld als het Microsoft betreft - waarbij ernstige lekken zijn bewezen, en Microsoft die niet patched. (terwijl ze het de hacker in kwestie wel blijven beloven).[...]
Het lek is al gedicht voordat het online is gekomen lees ik hieruit..
En er zouden meer hackers zo moeten werken inderdaad!
Uiteindelijk krijg je dan het resultaat dat de hacker in kwestie het zat wordt, en gewoon publiceert. Puur omdat het bedrijf in kwestie zegt een patch te hebben, maar die niet uitrolt.
"En er zouden meer hackers zo moeten werken inderdaad!"
de hackers die zo werken halen het nieuws lang niet zo vaak, degenen die meteen naar de pers toe rennen, die hoor je echter regelmatig
de hackers die zo werken halen het nieuws lang niet zo vaak, degenen die meteen naar de pers toe rennen, die hoor je echter regelmatig
Nee, maar je fietst voortaan wel over een ander pad naar huisals mensen zich beklagen over losliggende tegels het fietspad omdat dat een onveilige situatie veroorzaakt, dan roep je toch ook niet "verkoop allemaal je fiets maar lekker".
Dat doen ze ook. Ze hebben het lek meteen gedicht vanzodra ze dit wisten.
In het afgelopen jaar (en zeer waarschijnlijk ook dit jaar) is Facebook veel in het nieuws geweest door de gigantische groei en het grote aantal gebruikers. Het is dan ook niet meer dan logisch dat veel mensen op de hoogte gehouden willen worden van het laatste nieuws omtrend deze website (misschien ben jij een uitzondering op die regel). Dat het nieuws niet altijd even positief is komt natuurlijk ook juist door die grote populariteit: het heeft vrij weinig zin om een site met maar tien profielen te gaan hacken om privegegevens te achterhalen. Echter, als je in het archief van T.net gaat zoeken kom je ook veel nieuwsberichten (wijzigingen bedrijf / site) en positieve berichten tegen.Kortom: dit is nieuws en dit hoort thuis op Tweakers. Het is daarom logisch dat een negatieve post die haast 'schreeuwt' met 'crap' en asterisks weggemod wordt.
Wat ik niet snap is de hele ophef, want ik durf te wedden dat bijna niemand zijn echte geboortedatum en overige gegevens invult.
"Edit: Hoezo is dit ongewenst?" Ik weet dat dit soort zaken op het forum besproken moeten worden, maar ik reageer al jaren nog amper omdat het Tweakers publiek best veranderd is en men de reacties niet goed leest.
"Edit: Hoezo is dit ongewenst?" Ik weet dat dit soort zaken op het forum besproken moeten worden, maar ik reageer al jaren nog amper omdat het Tweakers publiek best veranderd is en men de reacties niet goed leest.
Zouden ze gewoon de facebook application cookie gebruiken en vervolgens de website url faken?
Dat is niet mogelijk volgens mij. Dat lek zou in de browser zitten, niet in de Facebook site zelf.
Toch erg netjes dat ze er niet vandoor gaan met de gegevens, maar gewoon contact op nemen met Facebook en melden dat ze een lek gevonden hebben. Zou me namelijk niks verbazen als er wel mensen zouden zijn die er met dit soort gegevens van door gaan.
De vraag is natuurlijk of er al eerder mensen zijn geweest die dit lek gebruikt hebben en zodoende veel persoonsgegevens hebben bemachtigd. Ik vrees echter dat we daar wel nooit achter zullen komen (zelfs als weten ze dat bij Facebook, dan zullen ze dat niet zomaar openbaar maken, omdat dat de reputatie kan schaden).
Tja, je moet je reputatie toch hoog houden. Of door goed te zijn, of door slecht te zijn en er niks over te melden. Echter blijf ik het wel goed vinden dat ze, zodra ze horen dat er een lek is (er zelf naar zoeken doen ze volgensmij niet), het ook gelijk fixen.
Whuh. Ik dacht (of beter gezegd, nam aan) dat Facebook gebruik maakte van OAuth. Is dit niet zo? Anders was OAuth toch gewoon lek?
De graph API van facebook (voor bijvoorbeeld de loginbutton voor inloggen met facebook) maakt geen gebruik van oAuth, maar plaatst een cookie met fb_ applicationID zodra er authorisatie van de gebruiker is. Ik weet alleen niet hoe de beveiliging aan de achterkant word geregeld bij facebook. Waarschijnlijk faken ze het adres van de website in de request naar de graph api
[Reactie gewijzigd door bstudio op donderdag 3 februari 2011 13:37]
Klopt volgens mij. Het is alleen nogal krom, want de beveiliging is natuurlijk zo zwak als de zwakste schakel in de ketting. In dit geval is de beveiliging met OAuth eigenlijk nietszeggend, zolang er nog 'slechtere' beveiligingsmethoden gebruikt worden.
Klopt. "Facebook Platform uses the OAuth 2.0 protocol for authentication and authorization."
http://developers.facebook.com/docs/authentication/
http://developers.facebook.com/docs/authentication/
hmm, tijdje terug een filmpje op youtube gezien van defcon, hierin werd ook een facebook account gehackt, ook dmv een speciaal geprepareerde website, geen idee of het dezelfde hack is, maar sowieso goed dat ze dit direct aan facebook gemeld hebben.
Als ik het goed begrijp kon je eigenlijk niet meer info krijgen dan wat de gebruiker "openbaar" stelde?
Niets speciaal denk ik dan
Niets speciaal denk ik dan
Het verschil is dat deze informatie normaal gesproken niet te benaderen is vanuit andere websites en dat dat nu wel het geval is. Daardoor zou je (via een pagina op een populaire website) een database op kunnen bouwen met bijvoorbeeld namen, e-mailadressen en andere informatie. Die informatie kan vervolgens gebruikt worden voor spam en phising.
Het gaat hierbij over informatie die je aan een andere website beschikbaar hebt gesteld (bijvoorbeeld dus ESPN), als je die de toestemming hebt gegeven om dingen op je "wall" te plaatsen dan kan dat via de fake applicatie ook. Vandaar dat er ook in het artikel staat dat er phishing links zijn te plaatsen. Het feit dat dit kan geeft aan dat facebook niet echt slim heeft nagedacht over de applicatie interfaces (graph API)
Dit klinkt alsof ze gewoon de data van een gebruiker via de API ophalen, op het moment dat die gebruiker daar toestemming voor geeft? Klinkt een beetje als waar de API voor bedoeld is zeg maar?
Of mis ik nu iets?
Of mis ik nu iets?
Voor de API moet je toestemming geven per website / applicatie, maar dat bleek niet goed te werken: als jij website A toestemming gaf, kon je blijkbaar ook via website B de informatie via de API ophalen.
Ik ben het met Keejoz eens...
Laatst dat men beweerde dat zij de website van FaceBook hadden gehakt was dit idd ook eht geval. Toen kon je all die data downloaden via een torrent... Mijn data zat daat ook tussen en idd alleen die data die ik op zichtbaar had staan... Niet veel dus
Ik denk dat het interessanter wordt wanneer men acces tot de DB krijgt en daarvan de data decripted kan lezen.. (Ervanuitgaande dat men hun data op de DB encript ;-) )
Laatst dat men beweerde dat zij de website van FaceBook hadden gehakt was dit idd ook eht geval. Toen kon je all die data downloaden via een torrent... Mijn data zat daat ook tussen en idd alleen die data die ik op zichtbaar had staan... Niet veel dus
Ik denk dat het interessanter wordt wanneer men acces tot de DB krijgt en daarvan de data decripted kan lezen.. (Ervanuitgaande dat men hun data op de DB encript ;-) )
ze krijgen zo wel een goed imago he?
Eerst de eigenaar van facebook wiens pagina is gehacked en nu dit weer, dat grote websites een groter risico hebben op lekken is logisch maar dat ze zo snel achter elkaar komen is toch wel erg toevallig..
Eerst de eigenaar van facebook wiens pagina is gehacked en nu dit weer, dat grote websites een groter risico hebben op lekken is logisch maar dat ze zo snel achter elkaar komen is toch wel erg toevallig..
Oftewel gewoon standaard phising...
Op dit item kan niet meer gereageerd worden.
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
