Meta waarschuwt 1 miljoen mogelijke slachtoffers over gestolen inloggegevens

Meta heeft grofweg een miljoen Facebook-gebruikers ingelicht over inloggegevens die mogelijk gestolen zijn. Volgens Meta hebben de slachtoffers kwaadwillende apps via de Apple App Store en Google Play Store gedownload, waarna hun inloggegevens zijn buitgemaakt.

Het zou gaan om grofweg 400 malafide applicaties, die in een blogpost nadrukkelijk genoemd worden, waarmee inloggegevens van slachtoffers zijn buitgemaakt. Meta heeft Apple en Google ingelicht over de betreffende apps. Apple zegt tegenover Bloomberg dat 45 van de 400 apps via de App Store gedownload konden worden, waarbij de overgebleven applicaties in de Play Store zouden worden aangeboden. Alle door Meta vermelde apps zijn ondertussen van de respectievelijke virtuele appplatforms verwijderd.

Het gaat in bijna 43 procent van de gevallen om fotobewerkingapps waarmee gebruikers zogenaamd foto's konden bewerken of zichzelf in een tekenfiguur konden veranderen. In veel gevallen zou er gevraagd worden om via Facebook in te loggen voor meer functionaliteiten. Op deze manier hebben criminelen de inloggegevens van de slachtoffers verkregen. Ook VPN's, games en hulpapps zoals zaklampen zouden veel voorkomen onder de kwaadwillende applicaties.

Een medewerker van Meta zegt tegen Bloomberg: "Cybercriminelen weten hoe populair dergelijke apps zijn en gebruiken vergelijkbare concepten om mensen te misleiden om zo inloggegevens te stelen. Als een app te goed is om waar te zijn, bijvoorbeeld als er niet uitgekomen functies voor andere platformen of sociale media beloofd worden, is de kans groot dat er kwaadwillendheid in het spel is."

Voorbeelden van enkele door Meta gevonden applicaties met neppe loginknoppen voor 'Facebook'. Afbeelding via Meta

Reacties (79)

HugoVS 7 oktober 2022 22:39

Helaas ook bij mijn gebeurd. Ik ben er te laat achter gekomen dat een hacker via mijn fb een fb ads account heeft gemaakt en vervolgens op mijn naam ads heeft lopen draaien. Heb de boel gelukkig kunnen stoppen maar het heeft mij wel wat geld gekost. Schandalig vond ik dat ik niet eens met fb in contact kon komen hierover. Wat ook best wel apart is, is dat ik bij de inloggevens nergens een ongeautoriseerde inlog ben tegen gekomen die tevens ook tweefactor is.

The Zep Man

Beveiliging en antivirus
Google
Facebook
Meta
Malware

@HugoVS • 7 oktober 2022 23:47

Wat ook best wel apart is, is dat ik bij de inloggevens nergens een ongeautoriseerde inlog ben tegen gekomen die tevens ook tweefactor is.

Mogelijk wordt een ingelogde sessie gestolen, niet login credentials.

Jochem

@The Zep Man • 8 oktober 2022 07:09

Hmmm JWT token gestolen? Als je die hebt kun je die indd tijdens de geldigheid gewoon gebruiken. Meestal een paar minuten maar; maar kan genoeg zijn. Dan zit wellicht een echte login aan ten grondslag maar zenden ze gewoon de token door. Of mis ik iets?

The Zep Man

Beveiliging en antivirus
Google
Facebook
Meta
Malware

@Jochem • 8 oktober 2022 08:40

Als gebruiker log je niet elke keer in met 2FA nadat een token verloopt. De smartphone heeft dus iets van een lokale sessie om tokens te genereren, met bijbehorend sleutelmateriaal. Verkrijg het -materiaal, end bouw elders dezelfde sessile opnieuw op.

CH4OS

Google

@The Zep Man • 8 oktober 2022 10:29

Na inloggen is er meestal geen 2FA/TOTP meer nodig, omdat je dan meestal een zogenaamde refresh token hebt. Met dat token kun je zonder verdere tussenkomst een nieuwe sessie krijgen, je bent immers al geauthentiseerd.

[Reactie gewijzigd door CH4OS op 23 juli 2024 03:41]

BobJung

@CH4OS • 8 oktober 2022 17:39

Met 2fa accepteer ik nooit mijn device als vertrouwd. Die vraag mogen ze wat mij betrefd skippen. Kortom ik moet altijd 2fa gebruiken. Ennu FB of Google/microsoft login gebruik ik nooit. Altijd email en anders niet.

Bozebeer38 @The Zep Man • 8 oktober 2022 09:23

MAar dingen als inloggegevens kan je dan niet veranderen, dan is de 2FA weer nodig.

Maw in zo’n geval zou je zelf nog steeds moeten kunnen inloggen zolang je eigen gegevens kloppen.
En alle andere apparaten er uit gooien.

Wat niet helemaal helpt als je malafide app nog steeds draait, maar je snapt me hopelijk.

n8n @Jochem • 9 oktober 2022 09:14

Ze zouden een willekeurige app geen tokens moeten geven waarmee je betaalde diensten af kan nemen (zonder expliciete toestemming vooraf). Als dit de situatie is betekend dit dat de beveiliging gewoon niet afdoende is en Meta verantwoordelijk gehouden mag worden voor eventuele financiële gevolgen voor de eindgebruiker.

[Reactie gewijzigd door n8n op 23 juli 2024 03:41]

Jochem

@n8n • 9 oktober 2022 10:46

Wat als die app zich voordoet als native safari of chrome? Dan krijg je gewoon een jwt toch? En als je die dan upload en ergens anders gebruikt. Het gaat erom of er iets van een http only cookie ook meegaat in de auth laag. Of dat er een browser fingerprint in het token zit.

hoi3344 @The Zep Man • 8 oktober 2022 00:51

Ditzelfde laatst bij een bekende van mij gebeurd op discord. Sessie idd gehackt waardoor je 2fa omzeild. Z’n server met duizenden leden is verwijderd door de hackers. Er kom niks voor hem gedaan worden om het ongedaan te maken.

The Zep Man

Beveiliging en antivirus
Google
Facebook
Meta
Malware

@hoi3344 • 8 oktober 2022 08:42

Ditzelfde laatst bij een bekende van mij gebeurd op discord. Sessie idd gehackt waardoor je 2fa omzeild. Z’n server met duizenden leden is verwijderd door de hackers. Er kom niks voor hem gedaan worden om het ongedaan te maken.

De bekende had geen 'server' bij Discord, maar een eigen omgeving. 'Server' is de marketingterm bij Discord, want het bekt lekker bij gamers.

Natuurlijk heeft Discord backups, maar denk maar niet dat ze tijd en energie gaan steken in het herstellen als het hen niets oplevert.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 03:41]

CH4OS

Google

@The Zep Man • 8 oktober 2022 10:27

Zou jij duizenden anderen duperen om 1 iemand/server blij te maken zodat die verder kan? Men onderschat de impact van een backup restore enorm.

supersnathan94

App store
Apple

@CH4OS • 8 oktober 2022 11:33

Als dat je back-up/restore policy is dan klopt er iets niet.

In de huidige tijd van cloud computing spin je een container op die geïsoleerd is van alle andere instanties. Dit zodat je geen kruisbesmetting hebt en het verwijderen van zo’n server simpelweg het verwijderen van de container betekent. Container weg = kosten weg.

Dat betekent ook dat er virtueel een disk onder hangt die los staat van alle andere instanties en qua database heb je ook een gescheiden setup. Bij het verwijderen van een server wordt de data meestal niet direct verwijderd, maar worden dingen geflagged voor deletion. Het verwijderen zelf gebeurd ooit ergens een keer als het rustig is en je minimale impact hebt (want verwijderen is ook schrijven en dat kost dus IO). Archief storage (waar back ups dus inzitten) is daarin helemaal traag en duur. Dat wil je dus niet iedere 5 seconden doen, maar eens per dag of per week.

Het is ook helemaal niet raar/erg dat verwijderde content of servers in zijn geheel nog een maand in de back up blijven zitten. Verwijderde data wordt door je back up retention policy uiteindelijk vanzelf een keer weggegooid doordat je snapshot vanzelf een keer verwijderd wordt.

Het idee van back-ups is natuurlijk ook dat je per ongeluk verwijderde content ook weer kunt restoren. Om wat voor reden dan ook.

In het huidige cloud landschap zouden andere servers daar verder 0 impact door moeten ondervinden, want geïsoleerde omgevingen.

CH4OS

Google

@supersnathan94 • 8 oktober 2022 11:52

Maar niet elke Discord instance is een aparte container.

Daarnaast zou een dergelijke backup restoren ook de nodige tijd en dus geld kosten, waar eigenlijk niemand voor betalen wilt en dus Discord voor de kosten opdraven kan. Dus dat wordt niet aangeboden.

[Reactie gewijzigd door CH4OS op 23 juli 2024 03:41]

supersnathan94

App store
Apple

@CH4OS • 8 oktober 2022 12:18

Mja ik weet niet hoe zij het hebben ingeregeld, maar persoonlijk zou ik daar wel mee starten. Maakt je applicatie eenvoudiger. Multitenancy in je applicatie bouwen naast de multitenancy die containerisatie standaard geeft is gewoon extra complexiteit.

Ik gok dat ze het nu op basis van acitiviteit en aantal leden doen oid.

En ja backup restoren per unit is gewoon duur. Maar kan me voorstellen dat je dit als individu of als groep wel wil betalen aangezien het prima kan zijn dat je inkomsten hier ook van afhangen.

nullbyte @supersnathan94 • 8 oktober 2022 20:44

Meer containers, VM's, whatever zal waarschijnlijkmogelijk meer licentiekosten betekenen en dus duurder zijn?

supersnathan94

App store
Apple

@nullbyte • 9 oktober 2022 01:32

Euhm. Kubernetes? Kost alleen geld als je compute gebruikt.

Als ze dit een beetje in serverless weten te gooien dan kan je uit met alleen kosten als iemand daadwerkelijk iets doet.

nullbyte @supersnathan94 • 9 oktober 2022 10:04

Ah, ja natuurlijk en het is veel leuker om "Kubernetes" op zijn Amsterdams uit te spreken.

supersnathan94

App store
Apple

@nullbyte • 9 oktober 2022 10:12

Ah ja. De eeuwige discussie. Kubernietes, kuberwelles of gewoon kubernetniet. Ken allemoal.

tvtech

@HugoVS • 8 oktober 2022 14:52

Hoe heb je dan kunnen/moeten betalen? Heb je een zakelijk account met creditcard gekoppeld oid?

Tweakert2020 @tvtech • 10 oktober 2022 15:20

Ook wel erg benieuwd naar.
Zou een betaal functionaliteit zoals apple pay hiervoor misbruikt kunnen worden?

tvtech

@Tweakert2020 • 11 oktober 2022 17:42

Helaas geen reactie meer gezien

_Dune_ Moderator OeB

@HugoVS • 8 oktober 2022 11:41

2FA is ook niet heilig, veel mensen zien het als de ultieme beveiliging, maar met een vrij simpel op te zetten phishing kun je genoeg informatie achterhalen. Met deze informatie voeg je gewoon een extra device of iets van dien aard toe aan de 2FA mogelijkheden van het account en een kwaadwillende logt gewoon met jouw 2FA in zonder dat jij het ooit gaat merken. Alleen als je de details van het 2MF account gaat bekijken zal het mogelijk opvallen, echter praktisch niemand doet dat. Er zijn overigens mogelijkheden dit op te lossen.

akooijman @_Dune_ • 9 oktober 2022 00:30

Ik krijg zo nu en dan email: ingelogd op xxx met een nieuw device. Dat zou toch een signaal moeten zijn?

WackoH 7 oktober 2022 21:29

Er wordt op veel plaatsen gevraagd om via een Google of Facebook account in te loggen.
Precies om de reden dat het hier fout is gegaan, doe ik dat niet.
Liever maak ik voor iedere een aparte login aan.

moonlander @WackoH • 7 oktober 2022 21:54

Je kan wel inloggen met google of facebook. Zolang je je wachtwoord maar niet intoetst. Maar vertel dat de buurvrouw maar eens.

Creesch @moonlander • 7 oktober 2022 22:56

Zelfs dat vind ik niet aan te raden omdat het kunnen inloggen op die diensten dan afhangt van 1 centraal account bij google of facebook. Het is zeker makkelijk maar als je ooit af wil van dat account dan is het vaak lastig tot onmogelijk om het alsnog om te schakelen naar een wachtwoord voor de diensten waar je op in logde.

jerisson @Creesch • 7 oktober 2022 23:37

Geven Google/Facebook niet gewoon door dat jij eigenaar bent van het mail-adres waarmee je bij Google/Facebook geregistreerd staat? Lijkt me dan geen probleem te zijn?

Ik heb zonet bij een site, waar ik voorheen enkel met Google aanmeldde, "wachtwoord vergeten" aangeklikt en mijn mail-adres dat ik voor mijn Google-account gebruik ingegeven. Ik kreeg netjes een link toegezonden, kon een wachtwoord instellen en vervolgens aanmelden met wachtwoord.

Natuurlijk zal dit ook wel afhangen van hoe de site dit implementeert.

Creesch @jerisson • 8 oktober 2022 00:54

Geven Google/Facebook niet gewoon door dat jij eigenaar bent van het mail-adres waarmee je bij Google/Facebook geregistreerd staat? Lijkt me dan geen probleem te zijn?

In theorie zou het zo simpel moeten zijn. In de praktijk blijkt het toch vaak dat accounts die via google of facebook zijn aangemaakt niet daarvan los gekoppeld kunnen worden. Het is wat dat betreft Russische roulette.

Bovendien neem je daarmee het risico wat @KipKroket aanhaalde ook niet weg aangezien je geen wachtwoord hebt om mee in te loggen.

KipKroket @Creesch • 7 oktober 2022 23:02

En je hebt natuurlijk het risico dat als Google of Facebook je account blokkeren je ook niet meer bij andere services kan inloggen.

Cid Highwind @moonlander • 8 oktober 2022 08:38

Maar zelfs voor mij als technisch aangelegd persoon staat inloggen synoniem voor het ingeven van gebruikersnaam én wachtwoord.

Ik snap dus wel dat de buurvrouw dat ook gewoon doet. Die ziet haar FB Login simpelweg als een makkelijke, geïntegreerde manier van inloggen zonder een nieuw account met WW aan te hoeven maken.

Dat werkt mogelijk voor een hoop legitieme sites ook goed. Maar dat er dus complete apps zijn puur gericht op het buit maken van juist zulke gegevens (en eventueel meer), is een detail waar men zich niet bewust van is. Google en Apple controleren dat immers, toch?

ro8in 7 oktober 2022 21:20

Maar dan is er toch ook wat mis met het inlog systeem van FB als je op deze manier logins kan stelen? Of vragen deze apps dan gewoon om je FB login gegevens in een eigen login formulier? Want ja dan moet je die natuurlijk never the nooit niet invullen.

jcbvm

@ro8in • 7 oktober 2022 21:23

Lijkt me gewoon dat ze dit doen ja, wellicht met een Facebook achtig lijkende pop-up. Je zal verbaasd zijn hoeveel mensen hier in trappen.

ro8in @jcbvm • 7 oktober 2022 21:28

Ja dat is waar. Dat is ook de hele reden waarom phishing en scam calls enzo maar blijven doorgaan. Ze proberen het er bij 10.000 en dan zijn er 2 die erin trappen en dat is voor hun meer dan genoeg.

D.J.P. @ro8in • 7 oktober 2022 21:43

Het is puur phishing. Heel simpel vragen om iemands inloggegevens. Eigenlijk verbazingwekkend dat deze malware zo lang en in zulke aantallen op Google Play en App Store te vinden waren.

Frame164 @D.J.P. • 7 oktober 2022 23:26

Als het niet via een app gaat kan je hetzelfde bereiken via een webpagina. Beloof een euro korting als je met je Facebook account inlogt en de halve wereldbevolking tikt z'n gegevens in.

Anoniem: 361276 @ro8in • 7 oktober 2022 21:37

De service is "Federated identity" maar facebook heeft die service niet met deze apps, wat de apps doen is dus een namaak inlogscherm tonen en daar je gegevens stelen.

dec0de @ro8in • 7 oktober 2022 23:55

Via een webview kunnen ze gewoon de cookies en ingevulde letters zien, bij de echte Facebook login pagina

jpsch 7 oktober 2022 22:16

Dacht dat Apple apps uitgebreid testte voordat ze in de playstore* kwamen.

edit: appstore

[Reactie gewijzigd door jpsch op 23 juli 2024 03:41]

SinergyX @jpsch • 7 oktober 2022 22:32

Doen ze ook, maar je kan later prima een pagina aanpassen.

Stel ik maak een app, maak een login via login.app.nl, kan ik later gewoon die login.app.nl aanpassen naar wat ik wil. Bank inlog scherm, facebook inlogscherm, gewoon doen.

elmuerte @SinergyX • 7 oktober 2022 23:20

Dat doen ze niet, want dat kunnen ze niet.
Maar verder is je punt wel correct, zeker een social network login in een app is achteraf makkelijk aan te passen.

[Reactie gewijzigd door elmuerte op 23 juli 2024 03:41]

brian8544 @elmuerte • 8 oktober 2022 02:19

Verkeerde @

[Reactie gewijzigd door brian8544 op 23 juli 2024 03:41]

l0l @SinergyX • 8 oktober 2022 08:15

In het process moet je Apple en Google voorzien van credentials. Daarmee weet je dus wie er inlogt en kan je inderdaad een ander scherm presenteren als je het account van Apple of Google voorbij ziet komen.

Goed mogelijk dat deze apps dat doen.

Anoniem: 58485 @jpsch • 7 oktober 2022 23:19

Staat ook in het artikel, voor "meer functionaliteit" moet je inloggen. Dat verloopt dus via een derde.

[Reactie gewijzigd door Anoniem: 58485 op 23 juli 2024 03:41]

PearlChoco @jpsch • 8 oktober 2022 01:06

Inderdaad, dat was toch de grote reden van Apple om geen alternatieve app stores op hun iOS platformen toe te staan: de veiligheid!
Zo zie je maar, dat ze in hun eigen app store ook geen veilige apps kunnen garanderen.

Die app store brengt hen jaarlijks miljarden dollars op, ze hebben geen excuus om niet elke app grondig binnenste buiten te keren vooraleer te publiceren op hun store.

pe0mot @PearlChoco • 8 oktober 2022 08:42

Het duurt 5-10 werkdagen voordat updates van onze apps worden goedgekeurd.
Of dit kwaliteit, of werkdruk, is kan ik niet zien. Wel dat afkeur alleen om technische redenen is of omdat de omschrijving beter moet.
In de app kun je email en url's opnemen die naar goede sites gaan tijden de keuring.
Of tijdens de keuring, of daarna, Apple de url's controleert kunnen we niet zien. Is inderdaad wel van belang!
Daarnaast kun je met PWA lookalike apps maken die alle kanten op kunnen zonder controles.

avlt @PearlChoco • 8 oktober 2022 09:55

Nee, Apple kan geen 100% veiligheid garanderen. Sterker nog, niemand kan voor iets 100% veiligheid of zekerheid bieden. Dat is nu eenmaal het risico van leven.

Maar door geen alternatieve app stores toe te laten sluiten ze die weg in ieder geval af.

Als je de inbraakveiligheid van een gebouw wilt reduceren, moet je niet het aantal ingangen verhogen.

aikebah @avlt • 8 oktober 2022 12:20

/offtopic

Als je de inbraakveiligheid van een gebouw wilt reduceren, moet je niet het aantal ingangen verhogen.

Juist wel... dat is de beste manier om de inbraakveiligheid te reduceren (en het inbraakrisico te verhogen)

TheSiemNL @jpsch • 7 oktober 2022 22:21

Dat is voor mij de belangrijkste reden dat ik al mijn klanten de iPhone en de iPad adviseer. Ik ben benieuwd wat Apple hierover gaat melden.

Anoniem: 361276 @jpsch • 7 oktober 2022 22:25

De play store is van Google, Apple doet de App store.

Craftynl @jpsch • 8 oktober 2022 09:01

Je ziet in de bijlage van het bericht dus ook dat de lijst van Android 5x langer is dan die van IOS

nevyn67 @jpsch • 8 oktober 2022 10:08

Dat doen ze dus ook, net zoals Google. Maar een knop na goedkeuring toevoegen (bijvoorbeeld getimed na een bepaalde datum) is niet heel ingewikkeld en dan kan je verwijzen naar een phishing pagina.

Die criminelen zijn veel geraffineerder dan wat velen hier blijkbaar kunnen bedenken.

Omdat er verwezen wordt naar een pagina buiten de app maar op het web kan Apple of Google dit van te voren niet goed toetsen.

Martinspire 7 oktober 2022 21:23

Dat is nog best wel een dingetje als je de facebook login gebruikt bij veel andere apps, sites en bv ook winkels. Daar kan nog best veel gezeik van komen.

Frame164 @Martinspire • 7 oktober 2022 23:28

Je zou eigenlijk alleen van federation gebruik moeten maken als dat via een onafhankelijke instantie gaat. Al moet je die dan ook weer kunnen vertrouwen.....

Anoniem: 361276 7 oktober 2022 21:36

De dienst waar deze apps misbruik van maken is "Federated identity" dat is een service waarmee je op andere plekken kan inloggen met bijvoorbeeld je google/apple/facebook account dat is handig want dat scheelt je weer een extra gebruikersnaam+wachtwoord maar in dit soort gevallen maken ze een "Nep" aanmeldingsscherm en krijgen ze daardoor gelijk je inloggegevens.

Uiteraard is er dus geen legitieme federation tussen die app en in dit geval Facebook.

[Reactie gewijzigd door Anoniem: 361276 op 23 juli 2024 03:41]

Anoniem: 211516 7 oktober 2022 21:31

Gestolen of verkocht ? denk eerder dat laatste.

The Reeferman @Anoniem: 211516 • 7 oktober 2022 22:36

Moeten ze toch eerst de wachtwoorden hebben voordat ze die kunnen verkopen?
En aangezien die niet bewust vrijwillig aan hun worden gegeven moeten ze de inlog gegeven van gebruikers stelen.

Roel1966

7 oktober 2022 21:44

Buiten dat ik nooit foto's of video's bewerk met een app heb ik geeneens de Facebookapp op mijn smartphone staan. Maar sowieso ben ik altijd al voorzichtig met het installeren van apps en kijk meestal eventjes net wat verder. Even vaak hier op Tweakers neuzen of via Google even neuzen of een app wel betrouwbaar is en ook werkt. Daarbuiten zitten er op Samsung smartphones vaak al genoeg standaard foto en videobewerkingsapps die vaak ook prima werken.

OhMyGod 8 oktober 2022 02:46

Het grappige is dat je op insta wordt doodgegooid met teken-apps. Moet je vooral downloaden dus.

slijkie 8 oktober 2022 12:40

Ach, als je bij Meta zit zijn je ‘gegevens’ per definitie al verloren. Zeg het al jaren, maar niemand wil luisteren.

Op dit item kan niet meer gereageerd worden.

Meta waarschuwt 1 miljoen mogelijke slachtoffers over gestolen inloggegevens

Lees meer

Reacties (79)

Sorteer op:

Weergave: