Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kwetsbaarheid in View As-functie Facebook gaf toegang tot 50 miljoen accounts

Een kwetsbaarheid in de functie van Facebook om profielen te bekijken als iemand anders, maakte het mogelijk om accounts van bijna 50 miljoen gebruikers over te nemen. De betreffende gebruikers krijgen een melding.

Facebook zegt dat aanvallers een kwetsbaarheid in de code van de View As-functionaliteit hebben misbruikt waardoor ze access tokens in handen konden krijgen. Deze tokens worden normaal gebruikt om legitieme gebruikers niet iedere keer opnieuw in te hoeven laten loggen.

Volgens Facebook is de kwetsbaarheid opgelost en zijn de autoriteiten ingelicht. Het is niet duidelijk wat de aanvallers hebben gedaan met de accounts waar ze toegang toe hadden en ook is het niet duidelijk hoeveel accounts er zijn binnengedrongen.

Facebook meldt dat een kleine 50 miljoen accounts kwetsbaar waren. Van deze accounts heeft het sociale netwerk het access token gereset. Ook van 40 miljoen andere accounts waarbij in het afgelopen jaar de View As-functie is gebruikt, heeft Facebook het token een reset gegeven, naar eigen zeggen uit voorzorg.

De 90 miljoen gebruikers waarvan het access token is gereset, moeten opnieuw inloggen en krijgen als ze dat gedaan hebben een melding bovenaan hun nieuwsfeed met uitleg. Facebook zet de View As-functie tijdelijk uit en zegt uitgebreid de veiligheid ervan te onderzoeken.

De aanval maakt volgens Facebook gebruik van de 'complexe interactie van meerdere issues in de code'. De kwetsbaarheid zou zijn oorsprong hebben bij wijzigingen die in juli 2017 zijn gemaakt bij de functionaliteit om video's te uploaden.

Facebook zegt dat het onderzoek nog in een vroege fase verkeert en zegt nog vast te moeten stellen of er accounts zijn misbruikt. Het sociale netwerk weet niet wie er achter de aanval zit. Het veranderen van wachtwoorden is niet nodig volgens Facebook.

Door Julian Huijbregts

Nieuwsredacteur

28-09-2018 • 19:26

52 Linkedin Google+

Submitter: Pjotr

Reacties (52)

Wijzig sortering
Agh.....

Dit artikel op The Verge is eigenlijk nog veel grappiger, Ben benieuwd...

A Taiwanese “white hat” hacker claims he’ll broadcast himself hacking Mark Zuckerberg’s Facebook page on Sunday, reports Bloomberg. Writing in a Facebook post to his 26,000 followers, Chang Chi-yuan promised to delete the Facebook founder’s account, and broadcast himself doing so on Facebook Live. Chang is a well-known hacker in Taiwan, according to Bloomberg.

[Reactie gewijzigd door wimmel_1 op 28 september 2018 20:36]

Ik had dit graag ook mee willen maken, maar het artikel van de Verge heeft net nog een update gehad:
Update September 28th, 3:13PM ET: The hacker has decided to cancel the attack, he announced in a Facebook post. “I am canceling my live feed, I have reported the bug to Facebook and I will show proof when I get bounty from Facebook,” he confirmed to Bloomberg. The original article appears below unchanged.
Hij ziet er dus helaas van af. Zou echt een fantastische publieksstunt zijn geweest.
Hij ziet er vanaf omdat hij geld krijgt om het te laten zien. Het lijkt er nu op dat het geld en fame belangrijker is geworden dan een (snelle) oplossing.
Of hij heeft het lek openbaar gemaakt en zet zijn 'white hat' niet af om schade te veroorzaken?
Wat ik veel verontrustender vind, is deze quote:
We’re also taking the precautionary step of resetting access tokens for another 40 million accounts that have been subject to a “View As” look-up in the last year.
Ze houden dus bij bij wie jij op een bepaalde manier wil overkomen. Logs over je crush, mensen die je stiekem niet moet hebben, familie,....
Even serieus, jij vindt het nu echt anno 2018 raar dat Facebook alles bijhoud??

Even een reality check, Facebook houd ALLES over jou bij! Inclusief wat ze denken te weten door een profilering over jou los te laten. Ook kennen ze waarschijnlijk de inhoud van het adresboek van je telefoon, en dus ook alle telefoonnummers, namen, bijnamen etc van degene die erin staan. En dit koppelen ze dan weer ergens anders aan. Ze zijn ook al bezig met het identificeren van de inhoud van al je foto's en andere afbeeldingen die je 'liked'.

Kort door de bocht voorbeeld: als je veel regenbogen hebt als afbeeldingen en bij homobarren in de buurt komt met je FB app (met GPS) dan gaan ze er vanuit dat je homo bent. Bijvoorbeeld.
Ditzelfde doen zij over politieke stem voorkeur, hobby's, welk type eten jij het lieft eet (kom je veel bij de Mac of een biowinkel?), etc etc.

Ondertussen vraag ik mij sterk af of zij eigenlijk niet sneller terroristen kunnen opsporen dan onze gezamelijke inlichtingen diensten.
De prijs van gratis.

Je hebt er zelf om gevraagd.
Nee, ik heb er niet om gevraagd. Ik heb geen FB account en ik weiger er een aan te maken. Ik blokkeer de FB like button vanuit ublock origin en ik heb het domein facebook.com geblokkeerd.

En toch heeft FB een profiel van mij. Hoe dan? Via mensen die wel een FB account hebben, en die mij als contact in hun adresboek hebben staan.
Nee, ik heb er niet om gevraagd. Ik heb geen FB account en ik weiger er een aan te maken. Ik blokkeer de FB like button vanuit ublock origin en ik heb het domein facebook.com geblokkeerd.

En toch heeft FB een profiel van mij. Hoe dan? Via mensen die wel een FB account hebben, en die mij als contact in hun adresboek hebben staan.
En vergeet WhatsApp niet. Doordat andere personen WhatsApp hebben en hun contactlijst delen met Facebook kan Facebook een profiel van jou maken zonder dat je er zelf iets tegen kan doen.
Niemand heeft er echt om gevraagd. Mensen zagen het in het begin als 'leuk' en 'onschuldig'. Nog steeds. De grote meerderheid heeft geen verstand van internet/computers dus is niet goed geinformeerd over de gevaren van datavergaring op grote schaal. Als je hele familie en de buren het ook hebben, dan zorgt sociale druk er wel voor dat jij het ook neemt. Mensen kunnen niet meer zonder.

En vertel je over de gevaren dan doen mensen net alsof het science fiction is.
Dat is natuurlijk niet alleen Facebook. Als je zo stom bent om te denken dat je iets stiekem of anoniem kunt doen op een computernetwerk, nota bene in de app van een provider, heb je de afgelopen 60-70 jaar computerontwikkeling gemist.
Iedere beheerder van een willekeurig computernetwerk kan toch zien en bijhouden wat iedereen doet? Wat is daar nou bijzonder aan? Nooit begrepen dat mensen daarvan uitgaan. Ongeveer net zo dom als verstoppertje spelen door je ogen dicht te doen. Ik zie hen niet, dus zij zien mij niet.

Ontopic:
Leuk dat het om die functie schijnt te gaan waar ik nog nooit van gehoord heb, laat staan dat ik 'm gebruikt heb. En toch zijn al mijn sessies gereset. En nee, ik ben niet gehackt. Knappe jongen die mijn password kraakt....ik weet 'm zelf niet eens... :)
Ofwel er is meer aan de hand of FB heeft met de botte bijl veel meer sessies gereset dan alleen die iets met die functie te maken hebben. Ik heb echt geen idee wat ze bedoelen. En ik heb ook geen uitleg gezien bij het opnieuw inloggen; en ik heb het op 3 devices moeten doen.
Jij hebt nog nooit van de functie gehoord en toch moet je resetten. Dan heeft een ander waarschijnlijk gekeken hoe zijn eigen fb pagina er uitziet wanneer jij hem zou bezoeken. Dan heeft de ander dus jou token nodig.
Leuk. Kwisniedatdakon
Een beetje moderne terrorist zit natuurlijk op "insta". ;)
Maar ik denk dat FB hier niet meer voor gebruikt wordt. Ik zou haast zeggen "ze zijn niet zo dom als wij allemaal". }>
Volgens mij hadden we eerder in de week nog een artikel waar facebook aangaf bepaalde info niet te hebben.

En dit is stuitend. Telkens bij functies waarvan je verwacht dat men rekening hield met de implicaties blijkt dat niet zo te zijn (zoals hier... de devs mogen wéten dat er een token gegenereerd is en dus ook weer opgeruimd moet worden... of "doen ze maar wat, zolang het werkt"? het lijkt er nogal sterk op) en waar je verwacht dat logging plaatsvindt beweert facebook dat het niet zo is tot op een punt van klungeligheid terwijl ze eigenlijk ondertussen al een paar jaar bétere logging dient te hebben om alleen nog maar aan de eisen van het AP te voldoen...
Niet omdat het FB is maar dat is wel waar het in het algemeen op neerkomt: Als het redelijk lijkt te werken, vinden ze het wel gescheten.

Veel mensen en bedrijven doen zo min mogelijk moeite, laat staan dat ze al te ver vooruit kijken en zaken tot in de puntjes regelen. Zolang de overgrote meerderheid van de gebruikers niet klaagt en de politie niet aan de deur komt, vinden ze het wel prima.
Klopt voor geen meter. Je kan in Facebook de View As functionaliteit gebruiken om te checken of je privacy settings wel werken zoals je denkt dat ze werken, bijvoorbeeld zodat non-vrienden niet je laatste zuipfeest zien maar alleen de nette foto's.
dat lees ik totaal niet in de quote die je aanhaalt...
Sorry hoor, ik ga je helemaal niet tegen spreken over of dit al dan niet is, maar het feit dat je dat uit die quote kan uithalen slaat werkelijk alles.
Gaat weer lekker daar bij Facebook. En dit nieuws naast deze zorgt wel dat ik meedoe aan #deletefacebook.
Facebook admits using your 2FA phone number for ad targeting
Als je daar echt iets mee wilt doen, verwijder je account dan. Is geen # voor nodig.
Ik durf te wedden dat Google dat ook doet, en dat deze 2 niet de enigen zijn.
ik meedoe aan #deletefacebook.
10 tegen 1 dat je dat helemaal niet gaat doen.

Mensen roepen altijd dat ze over gaan stappen of weg gaan bij negatief nieuws, maar uiteindelijk doet bijna niemand dat.
Sorry, maar ik snap werkelijkwaar niet waarom FB in godsnaam een functie zou inbouwen zodat je als iemand anders profielen kunt bekijken :?
Met deze functie kan je zien hoe je eigen profiel er voor anderen uitziet.
Je kunt zien hoe je profiel eruitziet voor niet-vrienden. Handig om te controleren of je niet teveel dingen op Openbaar hebt gezet juist. Niet als specifiek iemand anders, maar een anonieme random user.

LinkedIn heeft die functie ook. “Hoe ziet mijn profiel eruit voor de buitenwereld”.
Je kunt zien hoe je profiel eruitziet voor niet-vrienden. Handig om te controleren of je niet teveel dingen op Openbaar hebt gezet juist. Niet als specifiek iemand anders, maar een anonieme random user.
Het kan allebei; je kunt zowel controleren hoe je profiel er voor "de rest van de wereld" uitziet, als hoe je profiel eruit ziet voor "Pietje". Het aantal situaties waarin dat nuttig is zal waarschijnlijk beperkt zijn (als je nog steeds (FB-)vrienden bent met je noga jaloerse ex even controleren of je niet al teveel foto's met je nieuwe partner op je tijdlijn hebt staan? foto's van het kampioensfeest van PSV blokkeren voor je Ajax-vrienden? er zijn vast betere voorbeelden), maar je hebt wel degelijk de mogelijkheid.
Volgens mij is die functie vooral bedoeld om als niet ingelogd je eigen profiel te bekijken om snel te zien welke posts op openbaar staan. Maar correct me if I'm wrong. Dat is in ieder geval het enige waar ik het voor gebruikt heb.
Je kunt kiezen wat je met wie deelt, zo kun je zien/controleren of hoe jij het in gedachten had ook klopt en werkt zoals bedacht. Ik gebruik het regelmatig om te controleren of ik nog dingen publiek heb staan ja of nee
De auteur vertaalt het weer eens veel te letterlijk… Bron van irritatie en verwarring.

Het gaat er niet om, om als iemand naar andermans profielen te kijken. Deze functie bestaat, zodat je niet steeds hoeft uit te loggen / in te loggen als je twee accounts hebt, bijvoorbeeld een prive account en een bedrijfsaccount.
YES!
Ik heb 3 dagen liggen zoeken wat er aan de hand was!
Mijn vrouw haar account werd gebruikt om Spam te posten op gebruikersgroepen.
De posts waren allemaal dat je een Smartphone kon krijgen aan een heel voordelig prijsje door te bellen naar ....
Eerste keer: account getest (was veilig) nieuw paswoord aangemaakt.
Zag toen wel 2 vreemde logins vanuit andere locaties via messenger. Alert bij inloggen aangezet.
Tweede keer: weer posts: echter geen logins van elders. Weer paswoord veranderd + alle apps en websites verwijderd, niemand nergens toegang tot gegeven.
Derde keer: weer posts: toen facebook in container gezet (plugin FF)
Haar PC helemaal nagekeken maar niets te vinden (Linux Mint, dus hack kans is al klein)

Nu dus de reden gevonden.
dus het kan wel degelijk worden misbruikt en bij 50 miljoen mensen. Waarom stopt niemand met facebook. Google heeft tenminste security op orde.
Op zich verbaasd me het niks, de structuur waarin data gekoppeld wordt, wordt steeds ingewikkelder met steeds meer afhankelijkheden, de kans is daardoor steeds groter dat je iets over het hoofd ziet, zoals zo een token die dan toch toegankelijk wordt waar die dat niet had moeten zijn.

Ik vraag me af wanneer de eerste grote cloud service Als amazon of Azure in het geding komt.
Ik heb onlangs die functie nog gebruikt om te zien wat er openbaar stond voor mensen die geen vrienden zijn, en dat was best handig want er stond nog best wat oude zooi openbaar.
En die oude zooi was waarschijnlijk geplaatst in de tijd dat berichten vaak als standaard keuze 'openbaar' hadden wanneer je wat plaatste, dat hebben ze veranderd.
Het viel mij ook op dat ik vanmiddag uitgelogd was. Een bericht heb ik nooit van Facebook gezien over de reden..... :/
Hetzelfde hier, kreeg hier ook geen bericht boven m'n newsfeed en geen notificatie bij de bell icon.

Gelukkig kreeg ik via Dashlane (m'n passwordmanager) al eerder bericht dat mijn account 'gecompromitteerd' was
Aah, daarom moest ik vanmiddag spontaan overal opnieuw inloggen.

Ik ben echter de "melding bovenaan hun nieuwsfeed met uitleg" nog niet tegen gekomen.
Zou het te maken hebben met deze Taiwanese bug bounty hunter? Hij zou zondag a.s. gaan demonstreren hoe hij het account van Mark Z. kon verwijderen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True