Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook: sms-spam bij tweetrapsauthenticatie was een bug

Facebook heeft te kennen gegeven dat een bug de oorzaak is van het ontvangen van sms-berichten na het aanzetten van tweetrapsauthenticatie. Eerder bleek dat gebruikers sms-spam ontvingen met linkjes naar posts van anderen.

Facebook LogoDe sociale-netwerksite heeft in een bericht op zijn website bekendgemaakt dat het gaat om een fout. Bij monde van Alex Stamos, die bij Facebook werkt als Chief Security Officer, laat het bedrijf weten dat het niet de bedoeling was om niet-beveiligings-gerelateerde sms'jes te versturen aan gebruikers die tweetrapsauthenticatie hebben aangezet. Facebook gaat dit daarom aanpassen, waardoor de sms-spam die bij sommige gebruikers optrad, moet verdwijnen. In de komende dagen moet de desbetreffende update worden uitgebracht.

Tevens bleek dat het reageren op de sms-berichten ervoor zorgde dat de reactie als post op Facebook verscheen. Dit is een functionaliteit die Facebook al langer heeft, en ervoor zorgt dat gebruikers zonder mobiel internet toch, via sms, een bericht op de site kunnen zetten. Omdat mobiel internet echter tegenwoordig alom vertegenwoordigd is, wordt deze functionaliteit op termijn uitgeschakeld, aldus Facebook.

Facebook kreeg in de afgelopen dagen veel kritiek toen bleek dat er sms-spam werd verzonden naar gebruikers die tweetrapsauthenticatie hadden aangezet. Er werd gespeculeerd dat Facebook dit heimelijk als nieuwe feature had geļntroduceerd, maar Facebook bezweert dat dit niet het geval is.

Door

Admin Mobile / Nieuwsposter

62 Linkedin Google+

Reacties (62)

Wijzig sortering
Ik weet niet hoe facebook in elkaar zit, maar ik kan me eigenlijk niet voorstellen dat authenticatie code en messaging code door elkaar lopen. Dit als bug lijkt mij persoonlijk een beetje onwaarschijnlijk. Straks wordt je 2FA code op je tijdlijn gezet? (Als die componenten toch zo nauw verweven zitten).
Het is aannemelijker dat hun bestaande messaging code alleen controleert of er een nummer beschikbaar is om een sms naartoe te sturen, en dan dat nummer meteen gebruikt. De twee stukken functionaliteit kunnen geheel van elkaar gescheiden zijn, maar toch dezelfde gegevensbron gebruiken.
"it's not a feature, it's a bug" is wel een simpele manier om er van af te geraken. Ik kan me niet voorstellen dat dit soort scenario's niet is getest
En waarom zou het niet zo kunnen zijn? Ook bij Facebook werken mensen en laat mensen nou fouten kunnen maken
Omdat je dit type bug niet even mist tijdens het testen misschien?
Dit hebben ze best getest. Wat ze hier "per ongeluk" hebben gedaan overtreedt privacy regels. Daar hebben ze best op getest. Het boeit ze gewoon geen ruk. Boetes zijn zo laag, dat verdienen ze in 1 dag terug door de regels te overtreden.
Dit hebben ze best getest. Wat ze hier "per ongeluk" hebben gedaan overtreedt privacy regels. Daar hebben ze best op getest.
Als ze dit opzettelijk hebben gedaan, dan zouden ze er iets mee moeten winnen. Ik zie zo snel niet wat ze hiermee opschieten. Een paar mensen die een paar dagen lang net iets actiever zijn (net iets meer posts plaatsen) dan anders!?
Boetes zijn zo laag, dat verdienen ze in 1 dag terug door de regels te overtreden.
Je bedoelt de boetes die beginnen bij een paar honderd miljoen en soms over het miljard heengaan!? Hoe gaan ze dat in een paar dagen terugverdienen...??
Ze verdienen heel veel. En die boetes zijn heus niet altijd zo hoog. Dat zijn uitzonderingen.

[Reactie gewijzigd door Origin64 op 17 februari 2018 16:03]

Maar doordat ze steeds zeggen dat het een bug is blijft het wel steeds goed gaan zonder boetes.geen boetes of boetes tussen
een paar honderd miljoen en soms over het miljard
M.a.w. zijn wij, de samenleving, hun testplatform. Ik vind dat ons rode icoontje (m.a.w. de test is gefaald in CI) best wel eens wat roder mag worden. M.a.w. geeft ze maar wat extreem hoge boetes.

Misschien stoppen ze er dan mee om de samenleving als hun testplatform te zien?

Blijven extreem beboeten, en desnoods zelfs blokkeren, tot hun nek breekt.

[Reactie gewijzigd door freaxje op 17 februari 2018 16:35]

Juist wel als je niet direct die sms'jes krijgt en als je het op een testomgeving doet waar niet actief op gepost wordt maar waarop je puur 2FA test.

Het nummer komt dan op een secundaire plek terecht waar je uiteindelijk ook die post-sms'jes krijgt (die je ook handmatig aan kunt zetten geloof ik), en als je daar niet gericht op test of naar kijkt dan zie je dat niet.
als je het op een testomgeving doet waar niet actief op gepost wordt maar waarop je puur 2FA test.


dat is geen goede testomgeving
Dit werd niet getest waarschijnlijk, dus er was helemaal geen test hiervoor. Maar op zich vind ik dat ook niet raar en vind ik het ook wel geloofwaardig dat dit een bug was.

Zie de reactie van hp197 ook boven mijn post, die gaat er wat dieper op in.

Bij Google die "per ongeluk" hele datadumps maakte van alle AP's waar hun auto langsreed is het alweer wat minder aannemelijk dat het een bug is omdat die datadumps enorm groot hebben moeten zijn. Om maar even met een andere situatie te vergelijken...
Dan kun je analoog daaraan zeggen dat dit van facebook geen bug is omdat die smsjes zoveel geld kosten. Ik volg je hier niet helemaal.
Ik volg jouw redenering niet? Sms'jes kosten ze waarschijnlijk niet superveel en die sturen ze toch al naar een bepaalde groep mensen, dus da's ook niet iets dat ineens zou opvallen volgens mij.
Mijn mening? Het feit dat dit gebeurde in de samenleving, was de test. De uitkomst van de test was dat er media-reactie op kwam. Die was negatief. Daarom is het een bug.

Facbook is aan het testen hoe ver het kan gaan. Ze testen niet hun systemen, maar wel de samenleving.
Kleine kans. Er werd per ongeluk antieke functionaliteit van voor mobiel internet geactiveerd. Geen idee wat voor baat Facebook daarbij heeft.
tuurlijk wel, als het puur om 2fa gaat, dan test je niet of er "per ongeluk" posts via sms ontvangen worden, dan test je op de functionaliteit van die 2fa, en dan is het een prima testomgeving.
Dat vraag ik me af. Facebook is koning van de CI/CD train en het zal mij daarom ook niet verbazen als al hun testen geautomatiseerde spec testen zijn en dan moet je maar net een test hebben die specifiek hierop test.
Als je beleid bestaat uit hard inzetten op CI/CD en automatisch deployen, dan is het geen kwestie van "maar net een test hebben die specifiek hierop test". Integendeel; dat is net DE core component van een dergelijke strategi; betekenisvolle en dekkende testen te hebben en te blijven hebben die een deploy tegenhouden wanneer nodig. Je kan immers anders niet betrouwbaar automatiseren. Het zou onaanvaardbaar moeten zijn dat in zo'n scenario features worden toegevoegd zonder testen.

[Reactie gewijzigd door Mathieu_Hinder op 17 februari 2018 12:00]

Volledig mee eens, maar we weten ook uit mijn ervaring weet ik dat niet iedere case vooraf goed uitgedacht is / tests voor op gezet zijn. Dus zien ik in de praktijk maar al te vaak dat er 'base' tests gemaakt worden en zodra er zich bugs voordoen dat die specifieke bug opgenomen wordt in de testen (Continues Improvement).

[Reactie gewijzigd door hp197 op 17 februari 2018 12:48]

Move fast, break things was het motto van FB. Zit er nog een beetje in.
Bedrijven testen steeds minder.
Als dit nu een of ander klein bedrijfje was wat door 3 man rerund of wordt of iets dergelijks snap ik het nog wel. Maar je gaat mij niet wijsmaken een miljardenbedrijf als Facebook haar shit niet op orde heeft wat betreft testen/etc. Die gasten weten HEEL goed waar ze mee bezig zijn, en dit soort bugs sluipen er niet zomaar doorheen. Het is ook wel even te toevallig dat Facebook dit 'overkomt' vlak nadat blijkt dat de zieltjes aan het verliezen zijn.
Dat het een bug zou kunnen zijn werd gelijk al tegengesproken door Matthew Green: https://www.theregister.c.../facebook_2fa_phone_spam/
Vind het ook erg kort door de bocht. Het is wel een hele rare bug. Vind wat meer uitleg op zijn minst op zijn plaats!
Waarom zou Facebook dit bewust hebben geintroduceerd? Zover ik weet zijn het 'gewoon' de normale timeline berichten die door kwamen via SMS. Ongewenst zeker, en niemand zit erop te wachten. Maar wat schiet Facebook ermee op om 'stiekem' zo'n feature te introduceren waar niemand op zit te wachten? Logische resultaat zou zijn als dit een feature was, dat niemand meer SMS two-factor authentication gebruikt. En het is niet alsof gewoon timeline berichten door SMS'en facebook nou zoveel oplevert aan inkomsten.
Om mensen te irriteren zodat ze weer terug naar facebook gaan. Om te zorgen dat mensen elke dag nog 2x extra het woord facebook lezen. Omdat ze er toch wel mee weg komen. En om de gratis publiciteit op sites zoals deze.

[Reactie gewijzigd door Origin64 op 17 februari 2018 14:12]

Om te testen wat het gevolg zou zijn? Nu blijkt dat het in de media komt, beweren ze dat het een bug is.

Maar dus eigenlijk is FB op de samenleving aan het testen hoe ver het kan gaan.
Vandaar dat het enkel bij een heel klein aantal mensen was die in de afgelopen week 2FA hadden aangezet, maar bij de tientallen miljoenen mensen die daarvoor 2FA hebben aangezet en soms al jaren hadden: die hadden nergens last van.

Het is volstrekt aannemelijk dat het inderdaad een bug is, er is geen enkel bewijs noch gegronde suggestie (blinde haat telt niet) dat het geen bug zou zijn maar doelbewust gedaan is door Facebook.

[Reactie gewijzigd door WhatsappHack op 17 februari 2018 16:59]

Prima. Maar we onthouden het niettemin. Als dit een paar keer gebeurt, is het voor mij wel gegrond dat het geen bug is.

Het zal een paar keer gebeuren. Dat voorspel ik.
Deze specifieke bug of in het algemeen? :P
Want in het laatste geval is het nogal makkelijk te voorspelen dat er wel vaker iets mis zal gaan, gezien het een platform is dat intussen 2,1 miljard mensen heeft die minstens 1x per maand inloggen. Geheid dat er bugs voor gaan komen die soms iedereen raken, soms kleine groepjes en soms niemand tot iemand gaat spelen en iets stoms ontdekt.

To be honest vind ik dat Facebook het qua stabiliteit en veiligheid behoorlijk goed doet voor zo'n grote toko met een enorm target op z'n rug geverfd. Of nouja, stabiel ligt eraan; die app van ze wordt een steeds grote kolos aan overbodige zooi, maar zelfs met al die troep (hoe meer troep, hoe meer attacksurface) blijft het behoorlijk bugvrij.

Logisch ook dat het daarom onder een vergrootglas ligt, daar niet van. Maar als je een derde van de wereldbevolking bedient dan gaat er af en toe wel eens iets mis ja. Zelfs al komt maar 0,0001% van de gebruikers (2100 gebruikers, 1 op 1 miljoen dus) in aanraking met een bug die toevallig erg irritant is, zoals deze SMS bug bijvoorbeeld, en de media pikt het op dan hoor je er meteen moord en brand over; terwijl de kans is dat dus slechts 17 mensen onder de gehele Nederlandse bevolking er last van heeft. (Losjes omgerekend ter vergelijking.) Dat is verwaarloosbaar in the grand scheme of things en gaat nergens over om daar keihard over te gaan doen, maar afijn... :P

[Reactie gewijzigd door WhatsappHack op 18 februari 2018 04:00]

Aantal gebruikers is in deze niet echt bepalend voor de complexiteit van het systeem. Soms wel, bv. doordat de performance dusdanig goed moet zijn dat daar extra complexiteit voor nodig is. Maar dat lijkt hier niet van toepassing.
Smsjes kost Facebook ook een hoop knaken. Echt gratis is t niet.
Ehm, het is voor hen een stuk goedkoper dan voor jou he. En het levert ze meer op dan het kost. Anders zouden ze helemaal geen smsjes versturen.
Ja klopt, de wholesale prijzen liggen per stuk erg laag (ik gok voor Facebook ergens rond de 0,9 dollarcent per stuk) maar het volume bij Facebook ligt dan ook wel enorm hoog wat t nog steeds een dure feature maakt. ;)
Duur is de uitkomst van kosten - opbrengst. Houdt dat altijd in het achterhoofd.
Met deze sms-functie kan je berichten lezen en beantwoorden en hiermee alle advertenties op Facebook omzeilen waarmee ze aan je verdienen.

Daarnaast bestaat deze functie al zowat sinds de oprichting van Facebook, en lijkt het inderdaad meer een oude, vergeten functionaliteit.
Ik heb de SMS 2FA voorheen gebruikt bij Facebook en toen had ik het probleem niet. Ik ben tegenwoordig over om het via OATH te doen, want een SMS is afgeraden als methode voor authenticatie omdat het niet veilig genoeg is. https://www.theverge.com/...ion-hack-password-bitcoin

[Reactie gewijzigd door swhnld op 17 februari 2018 11:08]

OAuth heeft hier niks mee te maken. Ik denk dat je TOTP bedoelt, wat een standaard van OATH is.
Je hebt gelijk, post gecorrigeerd.
Volgens mij heeft die berichtenfunctie per SMS altijd enkel in de US gewerkt, dus het zal hier geen probleem geweest zijn.

Klinkt ook best aannemelijk, dat er bij het activeren van 2FA ergens een flag in je account omgezet werd waardoor er actief SMS-berichten naar het geregistreerde nummer gestuurd kunnen worden, en hiermee dus ook ineens berichten verstuurd worden.
Ik mocht willen dat ik *kuch* per ongeluk zulke feature bugs introduceerde tijdens het programmeren. :+
Echt totaal gel...
Testen betekent bij Facebook en consorten zoveel als: "kijken hoe lang we het actief kunnen houden voor iemand het door heeft en we het weer moeten uitschakelen".
Dit soort "bugs" komen een beetje te vaak voor bij veel bedrijven, toeval?
Inderdaad, en ook altijd met een voordeel voor het bedrijf in kwestie. Net iets teveel toeval
Dit is gewoon even reacties polsen.
Goed van Google geleerd, je zet wat leuks neer, iemand komt erachter, bekijk de reacties en geef een antwoord passend daarop. Mensen boos? Sorry, was een bug. Mensen vallen het niet op? Niets zeggen.
Zouden ze notification classens hebben gerefactored? Zou zon bugs kunnen opleveren. In test omgevingen willen de notificaties nog wel eens in een black hole eindigen. Kan ne goed voorstellen dat t echt een bug was. Slordige, dat wel.

Vind het aan de andere kant ook net zo goed te geloven dat dit een bewuste feature was. We zullen t wel nooit met zekerheid weten.
Facebook en wel meer bedrijven (oh, hi Google) maken best grof misbruik van 'bugs'. En het dan vreemd vinden dat in sommige delen van de wereld diensten geblokkeerd worden en dat meteen als extremistisch gezien wordt. Terwijl het zo gek nog niet is, gezien een geldboete weinig doet en het de enige effectieve manier is om dit soort bedrijven op hun plek te zetten.

Ja en fouten maken is mensenlijk. Maar als je als dienst zoveel invloed hebt op miljarden mensen over de wereld, dan kun je niet als bedrijf zijnde met winstoogmerk op informatie van de gebruiker wijs maken dat dit een foutje is. Dit heet gewoon het opzoeken van de grens. Dit is weer zo gevalletje, jammer, we verzinnen wel een andere manier.
Iemand heeft dat ingebouwd toch, is geen bug, gewoon even kijken hoe men daarop reageert is het negatief dan zeggen we dat het een bug is...
Facebook verzamelt graag data dus uitgesloten dat dit een bug is.
Waarom noemen we het tweetraps in plaats van twee staps?
Omdat het dan als een raket gaat
Waarom noemen we het pindakaas.

Joh dacht ik orgineel te zijn. Heeft Google het antwoord. Ik kom terug op mijn merkrechten post. HEt is echt onzin heel dat merkgebeuren. Onzin is het!

[Reactie gewijzigd door Core2016 op 18 februari 2018 17:35]

hiermee stimuleren ze nou niet bepaald om meer naar facebook te gaan.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*