Kwetsbaarheid in View As-functie Facebook gaf toegang tot 50 miljoen accounts

Een kwetsbaarheid in de functie van Facebook om profielen te bekijken als iemand anders, maakte het mogelijk om accounts van bijna 50 miljoen gebruikers over te nemen. De betreffende gebruikers krijgen een melding.

Facebook zegt dat aanvallers een kwetsbaarheid in de code van de View As-functionaliteit hebben misbruikt waardoor ze access tokens in handen konden krijgen. Deze tokens worden normaal gebruikt om legitieme gebruikers niet iedere keer opnieuw in te hoeven laten loggen.

Volgens Facebook is de kwetsbaarheid opgelost en zijn de autoriteiten ingelicht. Het is niet duidelijk wat de aanvallers hebben gedaan met de accounts waar ze toegang toe hadden en ook is het niet duidelijk hoeveel accounts er zijn binnengedrongen.

Facebook meldt dat een kleine 50 miljoen accounts kwetsbaar waren. Van deze accounts heeft het sociale netwerk het access token gereset. Ook van 40 miljoen andere accounts waarbij in het afgelopen jaar de View As-functie is gebruikt, heeft Facebook het token een reset gegeven, naar eigen zeggen uit voorzorg.

De 90 miljoen gebruikers waarvan het access token is gereset, moeten opnieuw inloggen en krijgen als ze dat gedaan hebben een melding bovenaan hun nieuwsfeed met uitleg. Facebook zet de View As-functie tijdelijk uit en zegt uitgebreid de veiligheid ervan te onderzoeken.

De aanval maakt volgens Facebook gebruik van de 'complexe interactie van meerdere issues in de code'. De kwetsbaarheid zou zijn oorsprong hebben bij wijzigingen die in juli 2017 zijn gemaakt bij de functionaliteit om video's te uploaden.

Facebook zegt dat het onderzoek nog in een vroege fase verkeert en zegt nog vast te moeten stellen of er accounts zijn misbruikt. Het sociale netwerk weet niet wie er achter de aanval zit. Het veranderen van wachtwoorden is niet nodig volgens Facebook.

IT-banen

Reacties (52)

Will_M 28 september 2018 20:22

Agh.....

Dit artikel op The Verge is eigenlijk nog veel grappiger, Ben benieuwd...

A Taiwanese “white hat” hacker claims he’ll broadcast himself hacking Mark Zuckerberg’s Facebook page on Sunday, reports Bloomberg. Writing in a Facebook post to his 26,000 followers, Chang Chi-yuan promised to delete the Facebook founder’s account, and broadcast himself doing so on Facebook Live. Chang is a well-known hacker in Taiwan, according to Bloomberg.

[Reactie gewijzigd door Will_M op 25 juli 2024 06:20]

Nazanir @Will_M • 28 september 2018 21:54

Ik had dit graag ook mee willen maken, maar het artikel van de Verge heeft net nog een update gehad:

Update September 28th, 3:13PM ET: The hacker has decided to cancel the attack, he announced in a Facebook post. “I am canceling my live feed, I have reported the bug to Facebook and I will show proof when I get bounty from Facebook,” he confirmed to Bloomberg. The original article appears below unchanged.

Hij ziet er dus helaas van af. Zou echt een fantastische publieksstunt zijn geweest.

Kiswum @Nazanir • 28 september 2018 22:00

Hij ziet er vanaf omdat hij geld krijgt om het te laten zien. Het lijkt er nu op dat het geld en fame belangrijker is geworden dan een (snelle) oplossing.

letanie @Kiswum • 1 oktober 2018 09:58

Of hij heeft het lek openbaar gemaakt en zet zijn 'white hat' niet af om schade te veroorzaken?

kuurtjes 28 september 2018 20:09

Wat ik veel verontrustender vind, is deze quote:

We’re also taking the precautionary step of resetting access tokens for another 40 million accounts that have been subject to a “View As” look-up in the last year.

Ze houden dus bij bij wie jij op een bepaalde manier wil overkomen. Logs over je crush, mensen die je stiekem niet moet hebben, familie,....

Triblade_8472 @kuurtjes • 28 september 2018 21:05

Even serieus, jij vindt het nu echt anno 2018 raar dat Facebook alles bijhoud??

Even een reality check, Facebook houd ALLES over jou bij! Inclusief wat ze denken te weten door een profilering over jou los te laten. Ook kennen ze waarschijnlijk de inhoud van het adresboek van je telefoon, en dus ook alle telefoonnummers, namen, bijnamen etc van degene die erin staan. En dit koppelen ze dan weer ergens anders aan. Ze zijn ook al bezig met het identificeren van de inhoud van al je foto's en andere afbeeldingen die je 'liked'.

Kort door de bocht voorbeeld: als je veel regenbogen hebt als afbeeldingen en bij homobarren in de buurt komt met je FB app (met GPS) dan gaan ze er vanuit dat je homo bent. Bijvoorbeeld.
Ditzelfde doen zij over politieke stem voorkeur, hobby's, welk type eten jij het lieft eet (kom je veel bij de Mac of een biowinkel?), etc etc.

Ondertussen vraag ik mij sterk af of zij eigenlijk niet sneller terroristen kunnen opsporen dan onze gezamelijke inlichtingen diensten.

flowerp @Triblade_8472 • 28 september 2018 22:13

De prijs van gratis.

Je hebt er zelf om gevraagd.

Zyppora @flowerp • 28 september 2018 23:11

Nee, ik heb er niet om gevraagd. Ik heb geen FB account en ik weiger er een aan te maken. Ik blokkeer de FB like button vanuit ublock origin en ik heb het domein facebook.com geblokkeerd.

En toch heeft FB een profiel van mij. Hoe dan? Via mensen die wel een FB account hebben, en die mij als contact in hun adresboek hebben staan.

Franckey @Zyppora • 29 september 2018 00:13

Nee, ik heb er niet om gevraagd. Ik heb geen FB account en ik weiger er een aan te maken. Ik blokkeer de FB like button vanuit ublock origin en ik heb het domein facebook.com geblokkeerd.

En toch heeft FB een profiel van mij. Hoe dan? Via mensen die wel een FB account hebben, en die mij als contact in hun adresboek hebben staan.

En vergeet WhatsApp niet. Doordat andere personen WhatsApp hebben en hun contactlijst delen met Facebook kan Facebook een profiel van jou maken zonder dat je er zelf iets tegen kan doen.

CaptainEvillian @flowerp • 29 september 2018 06:55

Niemand heeft er echt om gevraagd. Mensen zagen het in het begin als 'leuk' en 'onschuldig'. Nog steeds. De grote meerderheid heeft geen verstand van internet/computers dus is niet goed geinformeerd over de gevaren van datavergaring op grote schaal. Als je hele familie en de buren het ook hebben, dan zorgt sociale druk er wel voor dat jij het ook neemt. Mensen kunnen niet meer zonder.

En vertel je over de gevaren dan doen mensen net alsof het science fiction is.

mphilipp @Triblade_8472 • 30 september 2018 00:00

Dat is natuurlijk niet alleen Facebook. Als je zo stom bent om te denken dat je iets stiekem of anoniem kunt doen op een computernetwerk, nota bene in de app van een provider, heb je de afgelopen 60-70 jaar computerontwikkeling gemist.
Iedere beheerder van een willekeurig computernetwerk kan toch zien en bijhouden wat iedereen doet? Wat is daar nou bijzonder aan? Nooit begrepen dat mensen daarvan uitgaan. Ongeveer net zo dom als verstoppertje spelen door je ogen dicht te doen. Ik zie hen niet, dus zij zien mij niet.

Ontopic:
Leuk dat het om die functie schijnt te gaan waar ik nog nooit van gehoord heb, laat staan dat ik 'm gebruikt heb. En toch zijn al mijn sessies gereset. En nee, ik ben niet gehackt. Knappe jongen die mijn password kraakt....ik weet 'm zelf niet eens...

Ofwel er is meer aan de hand of FB heeft met de botte bijl veel meer sessies gereset dan alleen die iets met die functie te maken hebben. Ik heb echt geen idee wat ze bedoelen. En ik heb ook geen uitleg gezien bij het opnieuw inloggen; en ik heb het op 3 devices moeten doen.

grolle @mphilipp • 30 september 2018 00:51

Jij hebt nog nooit van de functie gehoord en toch moet je resetten. Dan heeft een ander waarschijnlijk gekeken hoe zijn eigen fb pagina er uitziet wanneer jij hem zou bezoeken. Dan heeft de ander dus jou token nodig.

mphilipp @grolle • 30 september 2018 16:55

Leuk. Kwisniedatdakon

ToolBee @Triblade_8472 • 29 september 2018 00:43

Een beetje moderne terrorist zit natuurlijk op "insta".

Maar ik denk dat FB hier niet meer voor gebruikt wordt. Ik zou haast zeggen "ze zijn niet zo dom als wij allemaal".

Annihlator @Triblade_8472 • 29 september 2018 15:12

Volgens mij hadden we eerder in de week nog een artikel waar facebook aangaf bepaalde info niet te hebben.

En dit is stuitend. Telkens bij functies waarvan je verwacht dat men rekening hield met de implicaties blijkt dat niet zo te zijn (zoals hier... de devs mogen wéten dat er een token gegenereerd is en dus ook weer opgeruimd moet worden... of "doen ze maar wat, zolang het werkt"? het lijkt er nogal sterk op) en waar je verwacht dat logging plaatsvindt beweert facebook dat het niet zo is tot op een punt van klungeligheid terwijl ze eigenlijk ondertussen al een paar jaar bétere logging dient te hebben om alleen nog maar aan de eisen van het AP te voldoen...

laptopleon @Annihlator • 29 september 2018 17:12

Niet omdat het FB is maar dat is wel waar het in het algemeen op neerkomt: Als het redelijk lijkt te werken, vinden ze het wel gescheten.

Veel mensen en bedrijven doen zo min mogelijk moeite, laat staan dat ze al te ver vooruit kijken en zaken tot in de puntjes regelen. Zolang de overgrote meerderheid van de gebruikers niet klaagt en de politie niet aan de deur komt, vinden ze het wel prima.

Jeoh @kuurtjes • 28 september 2018 22:49

Klopt voor geen meter. Je kan in Facebook de View As functionaliteit gebruiken om te checken of je privacy settings wel werken zoals je denkt dat ze werken, bijvoorbeeld zodat non-vrienden niet je laatste zuipfeest zien maar alleen de nette foto's.

Anoniem: 167912 @kuurtjes • 28 september 2018 21:06

dat lees ik totaal niet in de quote die je aanhaalt...

ktorfs @kuurtjes • 28 september 2018 21:28

Sorry hoor, ik ga je helemaal niet tegen spreken over of dit al dan niet is, maar het feit dat je dat uit die quote kan uithalen slaat werkelijk alles.

Menesis 28 september 2018 20:10

Gaat weer lekker daar bij Facebook. En dit nieuws naast deze zorgt wel dat ik meedoe aan #deletefacebook.
Facebook admits using your 2FA phone number for ad targeting

FurrBeast

@Menesis • 29 september 2018 08:15

Als je daar echt iets mee wilt doen, verwijder je account dan. Is geen # voor nodig.

BlackOwl @Menesis • 28 september 2018 20:21

Ik durf te wedden dat Google dat ook doet, en dat deze 2 niet de enigen zijn.

flowerp @Menesis • 28 september 2018 22:18

ik meedoe aan #deletefacebook.

10 tegen 1 dat je dat helemaal niet gaat doen.

Mensen roepen altijd dat ze over gaan stappen of weg gaan bij negatief nieuws, maar uiteindelijk doet bijna niemand dat.

poor Leno 28 september 2018 19:28

Sorry, maar ik snap werkelijkwaar niet waarom FB in godsnaam een functie zou inbouwen zodat je als iemand anders profielen kunt bekijken

strafschop @poor Leno • 28 september 2018 19:34

Met deze functie kan je zien hoe je eigen profiel er voor anderen uitziet.

DigitalExorcist @poor Leno • 28 september 2018 20:38

Je kunt zien hoe je profiel eruitziet voor niet-vrienden. Handig om te controleren of je niet teveel dingen op Openbaar hebt gezet juist. Niet als specifiek iemand anders, maar een anonieme random user.

LinkedIn heeft die functie ook. “Hoe ziet mijn profiel eruit voor de buitenwereld”.

robvanwijk

Facebook

@DigitalExorcist • 29 september 2018 18:39

Je kunt zien hoe je profiel eruitziet voor niet-vrienden. Handig om te controleren of je niet teveel dingen op Openbaar hebt gezet juist. Niet als specifiek iemand anders, maar een anonieme random user.

Het kan allebei; je kunt zowel controleren hoe je profiel er voor "de rest van de wereld" uitziet, als hoe je profiel eruit ziet voor "Pietje". Het aantal situaties waarin dat nuttig is zal waarschijnlijk beperkt zijn (als je nog steeds (FB-)vrienden bent met je noga jaloerse ex even controleren of je niet al teveel foto's met je nieuwe partner op je tijdlijn hebt staan? foto's van het kampioensfeest van PSV blokkeren voor je Ajax-vrienden? er zijn vast betere voorbeelden), maar je hebt wel degelijk de mogelijkheid.

Robbierut4 @poor Leno • 28 september 2018 19:31

Volgens mij is die functie vooral bedoeld om als niet ingelogd je eigen profiel te bekijken om snel te zien welke posts op openbaar staan. Maar correct me if I'm wrong. Dat is in ieder geval het enige waar ik het voor gebruikt heb.

rg-mohwa @poor Leno • 28 september 2018 19:33

Je kunt kiezen wat je met wie deelt, zo kun je zien/controleren of hoe jij het in gedachten had ook klopt en werkt zoals bedacht. Ik gebruik het regelmatig om te controleren of ik nog dingen publiek heb staan ja of nee

laptopleon @poor Leno • 29 september 2018 17:17

De auteur vertaalt het weer eens veel te letterlijk… Bron van irritatie en verwarring.

Het gaat er niet om, om als iemand naar andermans profielen te kijken. Deze functie bestaat, zodat je niet steeds hoeft uit te loggen / in te loggen als je twee accounts hebt, bijvoorbeeld een prive account en een bedrijfsaccount.

thenob 28 september 2018 21:02

YES!
Ik heb 3 dagen liggen zoeken wat er aan de hand was!
Mijn vrouw haar account werd gebruikt om Spam te posten op gebruikersgroepen.
De posts waren allemaal dat je een Smartphone kon krijgen aan een heel voordelig prijsje door te bellen naar ....
Eerste keer: account getest (was veilig) nieuw paswoord aangemaakt.
Zag toen wel 2 vreemde logins vanuit andere locaties via messenger. Alert bij inloggen aangezet.
Tweede keer: weer posts: echter geen logins van elders. Weer paswoord veranderd + alle apps en websites verwijderd, niemand nergens toegang tot gegeven.
Derde keer: weer posts: toen facebook in container gezet (plugin FF)
Haar PC helemaal nagekeken maar niets te vinden (Linux Mint, dus hack kans is al klein)

Nu dus de reden gevonden.

freekvandeven @thenob • 28 september 2018 23:43

dus het kan wel degelijk worden misbruikt en bij 50 miljoen mensen. Waarom stopt niemand met facebook. Google heeft tenminste security op orde.

REDSD

28 september 2018 19:33

Op zich verbaasd me het niks, de structuur waarin data gekoppeld wordt, wordt steeds ingewikkelder met steeds meer afhankelijkheden, de kans is daardoor steeds groter dat je iets over het hoofd ziet, zoals zo een token die dan toch toegankelijk wordt waar die dat niet had moeten zijn.

Ik vraag me af wanneer de eerste grote cloud service Als amazon of Azure in het geding komt.

Fuelke 28 september 2018 19:47

Ik heb onlangs die functie nog gebruikt om te zien wat er openbaar stond voor mensen die geen vrienden zijn, en dat was best handig want er stond nog best wat oude zooi openbaar.

Mebus @Fuelke • 28 september 2018 19:59

En die oude zooi was waarschijnlijk geplaatst in de tijd dat berichten vaak als standaard keuze 'openbaar' hadden wanneer je wat plaatste, dat hebben ze veranderd.

AW_Bos

28 september 2018 20:18

Het viel mij ook op dat ik vanmiddag uitgelogd was. Een bericht heb ik nooit van Facebook gezien over de reden.....

JorisM @AW_Bos • 28 september 2018 23:39

Hetzelfde hier, kreeg hier ook geen bericht boven m'n newsfeed en geen notificatie bij de bell icon.

Gelukkig kreeg ik via Dashlane (m'n passwordmanager) al eerder bericht dat mijn account 'gecompromitteerd' was

AJM94 28 september 2018 20:26

Aah, daarom moest ik vanmiddag spontaan overal opnieuw inloggen.

Ik ben echter de "melding bovenaan hun nieuwsfeed met uitleg" nog niet tegen gekomen.

wizzkizz 28 september 2018 20:46

Zou het te maken hebben met deze Taiwanese bug bounty hunter? Hij zou zondag a.s. gaan demonstreren hoe hij het account van Mark Z. kon verwijderen.

Op dit item kan niet meer gereageerd worden.

Kwetsbaarheid in View As-functie Facebook gaf toegang tot 50 miljoen accounts

Lees meer

IT-banen

Reacties (52)

Sorteer op:

Weergave: