Studenten ontfutselen Facebook-gegevens met 'imitatie-hack'

Twee studenten zijn erin geslaagd een hack te ontwikkelen waarmee gegevens van Facebook-gebruikers konden worden ontfutseld. De studenten bouwden een script dat zich voordeed als een legitieme website, die toegang had tot Facebook-data.

De studenten, van wie de namen niet bekend zijn, konden van elke ingelogde Facebook-gebruiker de bijbehorende naam ontfutselen wanneer de gebruiker een speciaal geprepareerde webpagina laadde. Van gebruikers die een andere site toegang hadden gegeven tot hun Facebook-account, zoals ESPN, Farmville of The New York Times, kon veel meer informatie worden achterhaald. Dat schrijft beveiligingsbedrijf Sophos.

Het is onduidelijk hoe de hack precies werkte; er zijn geen technische details vrijgegeven. Duidelijk is wel dat de studenten een script bouwden dat zich voordeed als een legitieme website die toegang had tot Facebook-data van gebruikers. Onder andere gegevens als geboortedatum en e-mailadres konden worden achterhaald.

Bovendien was het mogelijk om Facebook-berichten op het profiel van gebruikers te plaatsen, zoals phishing-links. De studenten hebben contact opgenomen met Facebook, dat het lek inmiddels heeft gedicht.

Door Joost Schellevis

Redacteur

03-02-2011 • 13:25

31 Linkedin

Lees meer

Zynga werkt aan opvolger Farmville Nieuws van 27 juni 2012
'Facebook blokkeert exporttool' Nieuws van 5 juli 2011

Reacties (31)

31
29
16
0
0
0
Wijzig sortering
Toch erg netjes dat ze er niet vandoor gaan met de gegevens, maar gewoon contact op nemen met Facebook en melden dat ze een lek gevonden hebben. Zou me namelijk niks verbazen als er wel mensen zouden zijn die er met dit soort gegevens van door gaan.
De vraag is natuurlijk of er al eerder mensen zijn geweest die dit lek gebruikt hebben en zodoende veel persoonsgegevens hebben bemachtigd. Ik vrees echter dat we daar wel nooit achter zullen komen (zelfs als weten ze dat bij Facebook, dan zullen ze dat niet zomaar openbaar maken, omdat dat de reputatie kan schaden).
Tja, je moet je reputatie toch hoog houden. Of door goed te zijn, of door slecht te zijn en er niks over te melden. Echter blijf ik het wel goed vinden dat ze, zodra ze horen dat er een lek is (er zelf naar zoeken doen ze volgensmij niet), het ook gelijk fixen.
Dit klinkt alsof ze gewoon de data van een gebruiker via de API ophalen, op het moment dat die gebruiker daar toestemming voor geeft? Klinkt een beetje als waar de API voor bedoeld is zeg maar?

Of mis ik nu iets?
Voor de API moet je toestemming geven per website / applicatie, maar dat bleek niet goed te werken: als jij website A toestemming gaf, kon je blijkbaar ook via website B de informatie via de API ophalen.
hmm, tijdje terug een filmpje op youtube gezien van defcon, hierin werd ook een facebook account gehackt, ook dmv een speciaal geprepareerde website, geen idee of het dezelfde hack is, maar sowieso goed dat ze dit direct aan facebook gemeld hebben.
Whuh. Ik dacht (of beter gezegd, nam aan) dat Facebook gebruik maakte van OAuth. Is dit niet zo? Anders was OAuth toch gewoon lek?
De graph API van facebook (voor bijvoorbeeld de loginbutton voor inloggen met facebook) maakt geen gebruik van oAuth, maar plaatst een cookie met fb_ applicationID zodra er authorisatie van de gebruiker is. Ik weet alleen niet hoe de beveiliging aan de achterkant word geregeld bij facebook. Waarschijnlijk faken ze het adres van de website in de request naar de graph api

[Reactie gewijzigd door bstudio op 3 februari 2011 13:37]

Klopt volgens mij. Het is alleen nogal krom, want de beveiliging is natuurlijk zo zwak als de zwakste schakel in de ketting. In dit geval is de beveiliging met OAuth eigenlijk nietszeggend, zolang er nog 'slechtere' beveiligingsmethoden gebruikt worden.
Klopt. "Facebook Platform uses the OAuth 2.0 protocol for authentication and authorization."
http://developers.facebook.com/docs/authentication/
Als ik het goed begrijp kon je eigenlijk niet meer info krijgen dan wat de gebruiker "openbaar" stelde?

Niets speciaal denk ik dan
Het verschil is dat deze informatie normaal gesproken niet te benaderen is vanuit andere websites en dat dat nu wel het geval is. Daardoor zou je (via een pagina op een populaire website) een database op kunnen bouwen met bijvoorbeeld namen, e-mailadressen en andere informatie. Die informatie kan vervolgens gebruikt worden voor spam en phising.
Het gaat hierbij over informatie die je aan een andere website beschikbaar hebt gesteld (bijvoorbeeld dus ESPN), als je die de toestemming hebt gegeven om dingen op je "wall" te plaatsen dan kan dat via de fake applicatie ook. Vandaar dat er ook in het artikel staat dat er phishing links zijn te plaatsen. Het feit dat dit kan geeft aan dat facebook niet echt slim heeft nagedacht over de applicatie interfaces (graph API)
Zouden ze gewoon de facebook application cookie gebruiken en vervolgens de website url faken?
Dat is niet mogelijk volgens mij. Dat lek zou in de browser zitten, niet in de Facebook site zelf.
Ik ben het met Keejoz eens...

Laatst dat men beweerde dat zij de website van FaceBook hadden gehakt was dit idd ook eht geval. Toen kon je all die data downloaden via een torrent... Mijn data zat daat ook tussen en idd alleen die data die ik op zichtbaar had staan... Niet veel dus :P

Ik denk dat het interessanter wordt wanneer men acces tot de DB krijgt en daarvan de data decripted kan lezen.. (Ervanuitgaande dat men hun data op de DB encript ;-) )
ze krijgen zo wel een goed imago he?
Eerst de eigenaar van facebook wiens pagina is gehacked en nu dit weer, dat grote websites een groter risico hebben op lekken is logisch maar dat ze zo snel achter elkaar komen is toch wel erg toevallig..
Oftewel gewoon standaard phising...
Veiligheid topprioriteit bij FB ? Hm :-/
Gezien Marck Zuckerberg er nooit een geheim van maakte dat hij de mensen maar zo gek en dom vond, dat ze hem al die informatie toevertrouwde, beschouw ik hem ook niet echt als een integer en te vertrouwen persoon. Mijn bank weet ook 'voldoende' van mij af, maar de moment als ik hoor dat ze de gebruiker belachelijk maken, ben ik er ook weg.
FB heeft géén naam hoog te houden, maar een naam te maken. Ze zijn er nog neit lang genoeg en Marck Zuckerberg lijkt me niet de beste CEO. Iemand die vooral meer om het geld inzit (en laat ons neit starten over die gedwongen donatie nota bene), dan om zijn 'cliënteel'.

[Reactie gewijzigd door Mizitras op 3 februari 2011 14:48]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee