Facebook claimt doelwit te zijn geweest van 'geavanceerde aanval'
Facebook zegt dat zijn systemen vorige maand doelwit waren van een 'geavanceerde aanval'. De aanvallers wisten computers van medewerkers te besmetten via een zero day-exploit in Java. Er zijn geen aanwijzingen dat gebruikersdata in het geding was bij de aanval.
De aanval gebeurde nadat een, volgens Facebook, 'handjevol' medewerkers een niet nader genoemde mobiele site voor ontwikkelaars bezocht. De website serveerde een exploit die de Java-sandbox omzeilde en ervoor zorgde dat de laptops besmet werden met malware. Het beveiligingsteam van Facebook ontdekte een verdacht domein in de dns-logs van het bedrijfsnetwerk en wist dit te herleiden naar een laptop van een medewerker. Oracle heeft de zero day-exploit in Java op 1 februari jongstleden gepatcht.
Facebook zegt dat anderen ook doelwit van de aanval waren, zonder verder namen te noemen, maar het sociale netwerk zou wel een van de eerste zijn die de methode ontdekte. De site zegt gezocht te hebben naar de herkomst van de aanval, maar meldt hier verder geen details over. Ook is niet bekend welk doel de aanval had en of Facebook bijvoorbeeld wel een gericht doelwit was. De afgelopen maanden zijn er veel geruchtmakende aanvallen op netwerken van Amerikaanse kranten geweest die afkomstig leken uit China, maar er zijn geen aanwijzingen dat het in dit geval om een vergelijkbaar geval gaat.
Facebook garandeert in ieder geval dat er geen gebruikersgegevens zijn gestolen en dat het onderzoek naar de aanval voortduurt.
Reacties (38)
Gelukkige melden ze het. Laten we maar hopen dat uit het onderzoek blijkt dat er echt geen Gegevens zijn gelekt.
En dit kan ik dus niet begrijpen. Al vele releases van Java wordt er al gewaarschuwd (door Oracle of door de community) dat er ernstige beveiligingslekken inzitten. Ik kan niet begrijpen dat Oracle hier geen moeite in steekt, maar al helemaal niet waarom Facebook (wat toch als sociaal medium dit soort nieuws als eerste moet horen) geen maatregelen heeft getroffen.
Hoewel de medewerker geen informatie van de gebruikers kan opvragen (althans, dat hoop ik i.v.m. privacy, of dat ook zo is is een tweede), lijkt me toch dat een computer van een medewerker genoeg schade aan kan richten. Toch ben ik wel blij dat ze niet op een dataserver zijn ingebroken, dat zou finaal zijn.
Hoewel de medewerker geen informatie van de gebruikers kan opvragen (althans, dat hoop ik i.v.m. privacy, of dat ook zo is is een tweede), lijkt me toch dat een computer van een medewerker genoeg schade aan kan richten. Toch ben ik wel blij dat ze niet op een dataserver zijn ingebroken, dat zou finaal zijn.
Het was een zero-day exploit. De exploit wordt zo genoemd als deze nog niet publiek -of zelfs bij de oorspronkelijke ontwikkelaar - bekend is.
Ik heb niet veel met Facebook, maar dit geval valt hen dus moeilijk te verwijten.
Ik heb niet veel met Facebook, maar dit geval valt hen dus moeilijk te verwijten.
En wat zijn we weer lekker genuanceerd zo comfortabel op de tribune langs de zijlijn. Het probleem met pakketten zoals Java, .Net, Windows en noem maar op is dat het gebruikt word in verschrikkelijk veel omgevingen. Iedere aanpassing / fix die je maakt kan een werkende situatie van een klant breken.En dit kan ik dus niet begrijpen. Al vele releases van Java wordt er al gewaarschuwd (door Oracle of door de community) dat er ernstige beveiligingslekken inzitten. Ik kan niet begrijpen dat Oracle hier geen moeite in steekt, maar al helemaal niet waarom Facebook (wat toch als sociaal medium dit soort nieuws als eerste moet horen) geen maatregelen heeft getroffen.
Daarnaast als je beveiliging echt zo hoog in het vaandel hebt dan pak je OpenJDK, patch je het lek en build je zelf een release. Veelal hoef je het lek niet eens te patch in OpenJDK omdat de fix al in de source zit. Het duurt echter maanden voordat een OpenJDK build gecertificeerd is door Oracle (vanwege bovenstaand probleem) en gepubliceerd word op java.com .
Melden? Ze melden het inderdaad, maar wel een maand later! Kan me nog herinneren dat de wereld te klein was toen Sony twee weken na de hack meldde dat er ingebroken was op hun systeem.
Kortom, wanneer ga je over tot het melden ergens van. Wat is een acceptabel termijn.
Kortom, wanneer ga je over tot het melden ergens van. Wat is een acceptabel termijn.
Dat is een goede kwestie. Een maand, dat is ver buiten de acceptabele termijn naar mijn mening. Maar wat is wel een goed moment? Direct? Of zoals nu waarschijnlijk is gebeurd, wanneer gegarandeerd kan worden dat de gegevens veilig staan? Op het moment dat het meteen gemeld wordt, en dus nog niks omtrent de data bekend is, kan dat wel eens een heel negatief beeld vormen. Als jouw bedrijf een maand lang in het nieuws is omdat er misschien persoonlijke gegevens van klanten zijn afgenomen, lijkt mij dat geen beste reclame.
Wij weten nu dat er een maand lang een risico was dat onze gegevens gestolen zijn, maar de garantie dat niets is gestolen ("garantie"
) maakt het weer een soort van goed. De verontwaardiging is in ieder geval een stuk minder groot dan wanneer ze het meteen in het nieuws hadden gebracht. Maar de eerlijkheid naar buiten wordt op deze manier ook weer geschaadt. Wat levert uiteindelijk meer schade op; de geschaadde eerlijkheid, of de onzekerheid bij klanten omtrent diens gegevens? Daar heeft FB vast over nagedacht.
Wij weten nu dat er een maand lang een risico was dat onze gegevens gestolen zijn, maar de garantie dat niets is gestolen ("garantie"
) maakt het weer een soort van goed. De verontwaardiging is in ieder geval een stuk minder groot dan wanneer ze het meteen in het nieuws hadden gebracht. Maar de eerlijkheid naar buiten wordt op deze manier ook weer geschaadt. Wat levert uiteindelijk meer schade op; de geschaadde eerlijkheid, of de onzekerheid bij klanten omtrent diens gegevens? Daar heeft FB vast over nagedacht.
Sorry, maar een bedrijf welk zichzelf belangrijker acht dan de miljoenen mensen waaraan het service biedt, nee bedankt. Ze hebben deze informatie veel en veel te lang verzwegen en dat enkel voor hun eigen bestwil. Op het moment van vermoeden had er al aan de bel getrokken dienen te worden en al helemaal bij de eerste bevindingen. De reactiekeuze dient bij de mensen te liggen; het zijn immers hun gegevens die op straat liggen. Het verbaast me dat er mensen zijn die er uberhaupt over denken of het een goede keuze van Facebook was om het zo aan te pakken. Het is ongehoord en zulke gevallen zouden wat mij betraft zeer fiks bestraft moeten worden. Trieste zaak allemaal.
[Reactie gewijzigd door CoreIT op zaterdag 16 februari 2013 11:13]
Lek is al naar paar dagen gemeld door FB!Melden? Ze melden het inderdaad, maar wel een maand later! Kan me nog herinneren dat de wereld te klein was toen Sony twee weken na de hack meldde dat er ingebroken was op hun systeem.
Kortom, wanneer ga je over tot het melden ergens van. Wat is een acceptabel termijn.
Maand is anders vrij kort om complex onderzoek te verrichten waar de lek vandaan kwam en wat het in je systeem heeft gedaan en wat de schade was. En is geen maand geweest, ze hebben het al eerder gemeld zoals je had kunnen lezen. Ze melden het het public maar lek is al vrij snel gemeld en is ook al drie weken terug gepatch.
Je gaat natuurlijk niet als eerste de lek openbaar maken, dat is niet logisch! Eerste onderzoek, dan melden bij ontwikkelaar die lek heeft veroorzaakt. Dan de lek dichten en op laatste gaan je het openbaar maken als naar testperiode de lek gedicht blijkt te zijn meld je het openbaar.
Wat wil jij dan dat FB gelijk gaat melden en nog meer hackers zicht richten op een lek die nog niet gedicht is?
[Reactie gewijzigd door mad_max234 op zaterdag 16 februari 2013 11:34]
Paar dagen? Of Tweakers is laat of jij hebt het eerder ergens gelezen. Neemt niet weg dat wanneer het lek gedicht is op 1 februari en het op 15 februari wereldkundig wordt gemaakt. men naar mijn bescheiden mening dit eerder had kunnen melden.
Ik begrijp ook wel dat je het pas gaat melden wanneer het lek dicht is om te voorkomen dat andere kwaadwillenden nog meer schade gaan aanrichten.
Ik begrijp ook wel dat je het pas gaat melden wanneer het lek dicht is om te voorkomen dat andere kwaadwillenden nog meer schade gaan aanrichten.
Wat mij persoonlijk steeds stoort bij dergelijke zaken is het feit dat ze telkens menen te kunnen garanderen dat er geen data gestolen is. Dit kunnen ze volgens mij helemaal niet. Hoogstens een zeer groot vermoeden dat er niets gestolen is.
Hoe kunnen ze dat garanderen? Log files? Die kunnen toch ook gewist worden? Wat als een gebruiker persoonlijke data van een aantal gebruikers lokaal op de computer had staan. Of ze via andere bestaande logins data benaderde...
Hoe kunnen ze dat garanderen? Log files? Die kunnen toch ook gewist worden? Wat als een gebruiker persoonlijke data van een aantal gebruikers lokaal op de computer had staan. Of ze via andere bestaande logins data benaderde...
Garanderen kan inderdaad nooit. Maar als er alleen maar een paar laptops van medewerkers (die misschien wel helemaal niets met de data van gebruikers van doen hebben, maar bijvoorbeeld PR doen) besmet zijn, is de kans dat er iets gestolen is niet groter dan dat die al was.
Lijkt me dat als je een site voor ontwikkelaars bezoekt, dat je dan niet bij een niet-technische afdeling werkt.
er zijn maar al te veel developpers die amper weten hoe ze een pc in elkaar moeten vijzen, dus ik kan mij goed inbeelden dat ze even weinig weten van mogelijke exploits als je aan het surfen bent, laat staan dat ze een 0-day exploit zouden moeten kunnen herkennen
Maar bij goed georganiseerde clubs heeft die developer dan weer helemaal niets in de productie-omgeving te zoeken en daar dus ook geen rechten. Alles wat ie uit die omgeving moet weten moet hij/zij maar via de beheerders van de productie-omgeving achterhalen.
Waarom zou een medewerker van facebook gebruikersdata op zijn/haar laptop hebben staan?
De volgende vraag is dan natuurlijk: waarom hebben ze Java geïnstalleerd staan? Weg ermee!
De volgende vraag is dan natuurlijk: waarom hebben ze Java geïnstalleerd staan? Weg ermee!
Als je netjes je logging extern laat verlopen naar een diode netwerk waar je alleen input kan leveren (dus fisiek geen terug weg verkeer mogelijk) dan kan je redelijkerwijs wel aantonen wat er precies is gebeurd.
Je kan toch prima nagaan of ze bij je server zijn gekomen of niet. Het is geen film waar je he sporen zomaar even kan wissen met stukje software als hacker! Overal waar je komt met je pc laat je sporen achter, zeker in eigen systemen waar men weet welke connecties en data er verwacht word, kan je heel goed nagaan die waar is geweest.Wat mij persoonlijk steeds stoort bij dergelijke zaken is het feit dat ze telkens menen te kunnen garanderen dat er geen data gestolen is. Dit kunnen ze volgens mij helemaal niet. Hoogstens een zeer groot vermoeden dat er niets gestolen is.
Hoe kunnen ze dat garanderen? Log files? Die kunnen toch ook gewist worden? Wat als een gebruiker persoonlijke data van een aantal gebruikers lokaal op de computer had staan. Of ze via andere bestaande logins data benaderde...
En wellicht kunnen de besmette systemen helemaal wel niet bij server netwerk komen waar de data opstaat, kan me indenken dat niet alle pc's van de medewerkers van FB bij de achterkant van de servers kunnen komen, wellicht is dat fysiek wel onmogelijk gemaakt en staat de control computers bij de servers en verder geen verbindingen met rest van de PC die de medewerkers gebruiken die toch niks met de servers te maken hebben.
[Reactie gewijzigd door mad_max234 op zaterdag 16 februari 2013 11:42]
De meeste databases hebben auditing-opties, waarbij alle (pogingen tot) toegang worden geregistreerd. Als je die logfiles aantreft dan kan je stellen wat wel en niet is gebeurd.
Maar waarom denkt iedereen dat inbrekers geinteresseerd zijn in persoonlijke gegevens van gebruikers? Het lijkt me veel waarschijnlijker dat de inbrekers op zoek waren naar gegevens van de adverteerders, en dan vooral naar credit cards en facturatiegegevens.
Maar waarom denkt iedereen dat inbrekers geinteresseerd zijn in persoonlijke gegevens van gebruikers? Het lijkt me veel waarschijnlijker dat de inbrekers op zoek waren naar gegevens van de adverteerders, en dan vooral naar credit cards en facturatiegegevens.
Als je een bepaalde infrastructuur hebt dan kan je tot op grote hoogte garanderen dat er geen data gestolen is.
Op het moment dat jij je log-files op een aparte log-server opslaat moet die ook eerst gehacked worden. Op het moment dat die log-server weer de boel aggregeert naar mooie management rapportages op een 3e servers dan zal die ook weer gehacked moeten worden.
Op het moment dat je die logserver / management server in the cloud hebt zitten heb je weer een proces erboven zitten wat checked of alle nodes wel de juiste data bevatten en niet spontaan iets gedelete hebben, dat is dan al een 4e service die je moet gaan hacken.
En dan heb je het enkel nog maar over de log-files. Daarnaast kunnen er nog 80 processen zien die van alles her en der monitoren en die iets kunnen detecteren.
Dus ja je kan geen 100% garantie geven, maar op het moment dat er xx services gehacked moeten worden om sporen te verbergen kan je er redelijkerwijs >99% vanuit gaan dat het niet gehacked is.
Op het moment dat jij je log-files op een aparte log-server opslaat moet die ook eerst gehacked worden. Op het moment dat die log-server weer de boel aggregeert naar mooie management rapportages op een 3e servers dan zal die ook weer gehacked moeten worden.
Op het moment dat je die logserver / management server in the cloud hebt zitten heb je weer een proces erboven zitten wat checked of alle nodes wel de juiste data bevatten en niet spontaan iets gedelete hebben, dat is dan al een 4e service die je moet gaan hacken.
En dan heb je het enkel nog maar over de log-files. Daarnaast kunnen er nog 80 processen zien die van alles her en der monitoren en die iets kunnen detecteren.
Dus ja je kan geen 100% garantie geven, maar op het moment dat er xx services gehacked moeten worden om sporen te verbergen kan je er redelijkerwijs >99% vanuit gaan dat het niet gehacked is.
Ik weet niet of het iets met een aanval te maken heeft maar enkele dagen geleden wou er bijna niets op facebook laden. Precies alles was overbelast.
De dag (of 2 dagen) er na ging de chat dan niet.
De dag (of 2 dagen) er na ging de chat dan niet.
Lek is al meer dan twee weken geleden gedicht. 
Gelukkig dat er geen gebruikers data is gestolen. Zodat ze de gegevens gewoon nog kunnen verkopen voor een hoop geld heeft Facebook daar even geluk mee zeg.
......dus facebook verplicht europeanen (zie recente uitspraak) hun echte naam te gebruiken voor registratie en toegang....maar wel in een systeem wat al meer gehackt is dan de gemiddelde pornosite....en dat er geen NAW gegevens bekend zijn geworden, zullen ze altijd ontkennen tot er bewijs op inet gepost wordt
Hoe kunnen ze dan mijn Privacy gegevens "veilig" bewaren en beschermen?
Als men echt netjes is staat er op de frontpage een waarschuwing : Registreer hier op eigen risico, 99% gegarandeerd dat uw gegevens voor het einde van het jaar over internet zwerven......
Hoe kunnen ze dan mijn Privacy gegevens "veilig" bewaren en beschermen?
Als men echt netjes is staat er op de frontpage een waarschuwing : Registreer hier op eigen risico, 99% gegarandeerd dat uw gegevens voor het einde van het jaar over internet zwerven......
Hmmm... maar goed dat ze periodiek hun security team (soms in samenwerking met de FBI) testen. Hoe groter je wordt, hoe eerder je blijkbaar een doelwit bent.
Kwestie van tijd dat Facebook een doelwit zou worden. Op de anon forums wordt geregeld iets gepost dat mensen fb proberen te hacken. Hoeveel van deze posts daadwerkelijk echte bedreigingen zijn is waarschijnlijk heel klein. Fb wordt steeds meer de heilige graal van "als ik dit hack wordt ik een wereld ster." Net zoals Google kan facebook de goede mensen binnen halen die hier boven op zitten en dat zullen ze ook moeten want, daar ligt hun waarde. De waarde van deze bedrijven is in het online verzamelen van gegevens als deze op straat komen te liggen is hun bedrijf niets meer waard. Een bank betaald ook top dollar voor een goede kluis, Google en fb ook voor hun digitale beveiliging.
Even de zin van de onzin scheiden.
Als een laptop van een medewerker besmet is betekent dat niet dat gebruikersdata bemachtigd wordt. Als je inbreekt ben je binnen, je bent nog niet in de kluis. Ik neem aan dat ontwikkelaars niet bij data van gebruikers kan. Ik weet van Google dat een medewerker niet zomaar een mailbox kunnen bekijken.
Elk device met toegang tot het internet is een bedrijfsrisico. Dat een medewerker van Facebook gehackt is kan iedereen overkomen.
De data die op Facebook staat is van mindere waarde dan je toegang tot bankgegevens. Als er iets op staat wat de wereld niet mag weten is dat sowieso niet handig. Als je de gebruikersnaam en wachtwoord van facebook ook elders werkt is ook niet handig.
Als je data op facebook belangrijk vind zet dan 2 step authentication aan.
Als jij een virus oploopt ren je meestal ook niet direct naar je baas toe. Je probeert het eerst zelf op te lossen zodat niemand erachter komt. Dat is zeer menselijk.
Ik neem aan dat een besmette laptop in quarantine wordt gezet en daar bekeken wordt wat de reikwijdte van de hack is.
Geen vuiltje aan de lucht. Ieder bedrijf zal vroeg of laat met hackers te maken krijgen. Ga daar vanuit en doe het net iets beter dan je buurman, dan kun je jezelf goed verdedigen.
Als een laptop van een medewerker besmet is betekent dat niet dat gebruikersdata bemachtigd wordt. Als je inbreekt ben je binnen, je bent nog niet in de kluis. Ik neem aan dat ontwikkelaars niet bij data van gebruikers kan. Ik weet van Google dat een medewerker niet zomaar een mailbox kunnen bekijken.
Elk device met toegang tot het internet is een bedrijfsrisico. Dat een medewerker van Facebook gehackt is kan iedereen overkomen.
De data die op Facebook staat is van mindere waarde dan je toegang tot bankgegevens. Als er iets op staat wat de wereld niet mag weten is dat sowieso niet handig. Als je de gebruikersnaam en wachtwoord van facebook ook elders werkt is ook niet handig.
Als je data op facebook belangrijk vind zet dan 2 step authentication aan.
Als jij een virus oploopt ren je meestal ook niet direct naar je baas toe. Je probeert het eerst zelf op te lossen zodat niemand erachter komt. Dat is zeer menselijk.
Ik neem aan dat een besmette laptop in quarantine wordt gezet en daar bekeken wordt wat de reikwijdte van de hack is.
Geen vuiltje aan de lucht. Ieder bedrijf zal vroeg of laat met hackers te maken krijgen. Ga daar vanuit en doe het net iets beter dan je buurman, dan kun je jezelf goed verdedigen.
Ik heb zo'n enorme afkeer tegen malware, dat ik ze afweer met een antivirusprogramma.
Gefeliciteerd als jij een virusscanner hebt die dat kan met zero-day exploits. Zelfs het merendeel van de trojans kunnen nog ongehinderd binnen komen.
Waarschijnlijk malvertisement of javascript hijack in onvoorziene hoek, zo rollen ze tegenwoordig, en dan meld je jezelf gewoon netjes aan in het netwerk van de bot herder, zonder dat je het weet. En dat soicale gegevens erg kostbaar zijn weet iedereen.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
