'Facebook-porno was mogelijk door kwetsbaarheid in browser'

De porno-gerelateerde afbeeldingen en video's die recentelijk opdoken op Facebook, zouden het gevolg van een xss-lek in een browser zijn. Volgens Facebook werden gebruikers er toe verleid om javascriptcode in hun url-balk te plakken.

De oorzaak van de stroom aan ongewilde content zou een xss-lek in een niet nader aangeduide browser zijn geweest. Daardoor was het mogelijk om malafide javascriptcode uit te voeren, stelt Facebook. De gebruikers moesten wel zelf de code in hun url plakken, zegt een woordvoerder tegenover Mashable. Vermoedelijk gebeurde dat via een externe enquête. Facebook wil niet zeggen welke browser kwetsbaar was voor de aanvallen en gaf ook geen details over de gebruikte methode.

Bij de linkspam zouden geen persoonlijke gegevens zijn buitgemaakt. Facebook neemt naar eigen zeggen maatregelen om de aanstootgevende weergave in de toekomst te voorkomen. Zo worden Facebook-pagina's die de kwetsbaarheid willen misbruiken, automatisch afgesloten. Bovendien krijgen getroffen gebruikers voorlichting over hoe ze het maken van dezelfde fout in de toekomst kunnen voorkomen.

Duizenden Facebook-gebruikers deden deze week hun beklag over een stroom aan gewelds- en porno-gerelateerde afbeeldingen en video's in hun nieuwsfeeds. De aanstootgevende afbeeldingen en video's waren voor vrienden zichtbaar, maar gebruikers konden de plaatjes zelf niet zien. De vermeende dader is naar verluidt al geïdentificeerd, weet ZDNet. Of hij deel uitmaakt van Anonymous of 4Chan, zoals werd gedacht, is onbekend. Een aanklacht zou inmiddels worden voorbereid.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yoeri Nijs

Nieuwsposter

Feedback • 16-11-2011 16:10 62

16-11-2011 • 16:10

Lees meer

Facebook gaat waarschuwingen tonen bij gewelddadige video's

Facebook gaat waarschuwingen tonen bij gewelddadige video's Nieuws van 13 januari 2015

Facebook-gebruikers zien dagelijks ruim een miljard video's

Facebook-gebruikers zien dagelijks ruim een miljard video's Nieuws van 8 september 2014

Privacylek treft 6 miljoen Facebook-gebruikers

Privacylek treft 6 miljoen Facebook-gebruikers Nieuws van 22 juni 2013

Lek in app geeft kwaadwillenden toegang tot Facebook-account

Lek in app geeft kwaadwillenden toegang tot Facebook-account Nieuws van 6 april 2012

Senatoren: onderzoek naar werkgevers die Facebook-logins opeisen

Senatoren: onderzoek naar werkgevers die Facebook-logins opeisen Nieuws van 25 maart 2012

Hacker claimt 350.000 accounts van pornosites in handen te hebben

Hacker claimt 350.000 accounts van pornosites in handen te hebben Nieuws van 12 februari 2012

Fout in Facebook-code gaf inzage in privéfoto's andere gebruikers

Fout in Facebook-code gaf inzage in privéfoto's andere gebruikers Nieuws van 7 december 2011

Facebook wordt geplaagd door porno via linkspam

Facebook wordt geplaagd door porno via linkspam Nieuws van 15 november 2011

Spamkoning Wallace geeft zichzelf aan bij FBI

Spamkoning Wallace geeft zichzelf aan bij FBI Nieuws van 5 augustus 2011

Facebook klaagt opnieuw spammers aan

Facebook klaagt opnieuw spammers aan Nieuws van 21 oktober 2010

Spammer moet Facebook bijna miljard dollar schadevergoeding betalen

Spammer moet Facebook bijna miljard dollar schadevergoeding betalen Nieuws van 25 november 2008

Meer producten en artikelen

Websites en community's Privacy Beveiliging Facebook Hackers Social networking Spam

IT-banen

Meer vacatures

Reacties (62)

Tuumke 16 november 2011 16:19

FireFox, was zelf zo stom met mijn slaperige kopf =(
Zag Miley C en dacht.. huh? Sextape? naakte vrouw

klikken!
Toen stond er dat ik bepaalde toets combo moest make (shift f12 ??) en ctrl+v -> enter moest drukken......
beetje dom van mezelluf

+- 1.5u bezig gweest om bij iedereen de meldingen weg te halen =(

[Reactie gewijzigd door Tuumke op 23 juli 2024 21:11]

Anoniem: 26447 @Tuumke • 16 november 2011 16:26

Toch respect dat je het zelf durft toe te geven $_/-\o_$

Spam
Beveiliging
Hackers

@Anoniem: 26447 • 16 november 2011 16:58

Toch respect dat je het zelf durft toe te geven $_/-\o_$

True, dat soort eerlijkheid zouden meer mensen moeten hebben

Novermars 16 november 2011 16:19

http://novogeek.com/post/...ihanna-Facebook-spam.aspx

Dit is volgens mij het zelfde idee, waarbij de user inderdaad wordt verleid om JavaScript in de url-balk te plaatsen.

ChrissieOne @Novermars • 16 november 2011 18:59

Volgens mij gaat het ook om deze spam, ik heb iig geen andere gezien, en de nieuwsberichten over de facebookspam werden een dag daarna gepost

pim 16 november 2011 18:47

Dit vermelde ik al in het vorige nieuwsitem als reactie.. Maar dat werd omlaag gemod als offtopic/irrelevant.. En nu wordt het als nieuws gebracht, en lopen mensen nog steeds te gissen hoe het werkt..
Dit was mijn irrelevante post uit het vorige topic:

Ik krijg deze mailtjes sinds gisteren al een paar keer.

Een mailtje met een youtube video waar je 18+ voor moet zijn..
Vervolgens word er zogenaamd een leeftijdsverificatie gedaan waarbij je in de adresbalk moet klikken.. En vervolgens "Ctrl+v" moet doen(javascript in de adresbalk), en vervolgens op enter moet drukken..
Vervolgens wordt het volgende script uitgevoerd die al je vrienden hetzelfde spam bericht stuurt:

http://profviewer.info/new.js

dabitfreak 16 november 2011 17:53

Als ik voor Facebook 'Bank' invul en voor de gewraakte content 'geld' dan gebeuren er rare dingen met mijn interpretatie van hun persbericht. Het kan toch niet zo zijn dat Facebook de oorzaak van het probleem bij de browser legt? Dit is gewoon een flaw in hun security model, die ellende moet gewoon niet naar binnen kunnen ongeacht de browser die gebruikt wordt; period.

RobertMe @dabitfreak • 16 november 2011 18:21

Waarschijnlijk doet het scriptje gewoon "versneld" wat een user zelf ook kan doen. Voor zover ik begrijp gebeuren er wel wat rare dingen (als niet facebook gebruiker/kenner). Geen idee hoe die wall precies "werkt", maar dat je plaatjes + tekst op de wall van andere kunt plaatsen lijkt mij nogal raar (of het is gewoon een feature, waarmee het script niks geks doet, want de user kan/mag het ook). Dat je het zelf niet terug ziet lijkt me ook nogal raar.

Op het moment dat jij een formulier invult om content op je pagina te plaatsen, en op het moment dat je op de verzend knop drukt wordt er een event aangeroepen wat alle data (van de invulvelden) verzameld en vervolgens deze doorgeeft om naar facebook te versturen. Dan kan zo'n scriptje natuurlijk ook zelf het verzamelen van data maken (de inhoud vullen met plaatjes van/links naar porno) en dat doorgeven aan facebook als zijnde "dit wil ik als content plaatsen". Facebook kan hier niks aan doen, want zij kunnen niet controleren wat clientside (in jouw browser) gebeurd. Ze zien alleen maar wat op de server binnen komt (plaats dit als content), en daar mee is op zich niks mis. De enige manier voor hen om "filtering" te doen is door de inhoud van berichten te controleren (kijken of er bepaalde woorden inzitten en dan blokkeren), maar hiermee sluit je het gebruik van die woorden helemaal uit, ook voor de echte gebruikers.

Dit is gewoon weer voor 90% een gevalletje "picnic" (problem in chair, not in computer). Het is de gebruiker die een malafide stuk javascript code draait. Dit gebeurd volledig buiten Facebook (en de browser) om.

Anoniem: 418549 16 november 2011 16:56

Een Facebook met een YouTube look-a-like filmpje vraagt om een url te kopiëren en deze te plakken in je adres balk om zogenaamd te controleren of je wel 18+ bent. Ik kan bevestigen dat het virus niets doet in Safari op Mac.

Dreamvoid @Anoniem: 418549 • 16 november 2011 17:06

Dat zegt niet zoveel, inmiddels doet het virus nergens meer wat, het is serverside geblocked.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 21:11]

Biinjo @Anoniem: 418549 • 16 november 2011 17:45

Het is geen virus, maar gewoon een scriptje dat je zelf kiest om uit te voeren (lees 1000 voorgaande berichten).

RobertMe 16 november 2011 16:17

Een XSS lek in een browser? Het gaat hier toch over crosssite scripting naar ik aanneem? En voor zover ik weet gebeurd dit toch echt puur op HTML (/site) niveau. Dat een formulier op een site slecht beveiligd is waardoor je HTML erin kunt plakke en die HTML zo in de broncode beland. Dus een <script>alert('test');</script> in een formulier invullen en dat die zo in de broncode komt waardoor die "alert('test')" gedraaid wordt (en dus die popup komt).

Daarnaast kun je JavaScript ook uitvoeren/in de URL plaatsen door op een link te klikken (<a href="javascript:alert('test')">Klik hier</a>).

Dit hele verhaal stinkt, en niet zo'n beetje. Als het XSS was is het browser onafhankelijk, en dan nog hangt het verhaal raar in elkaar (URL moeten kopiëren/plakken)

gnu @RobertMe • 16 november 2011 16:20

Niet helemaal, chrome laat het niet meer toe dat javasript die in de $_POST of $_GET variabelen staan direct in de source uitgevoerd wordt.
Daardoor is chrome al enigszins beveiligt tegen XSS.

Aan de andere kant, als je javascript code in je browser plakt ben je sowieso erg slecht bezig.

Anoniem: 126717 @gnu • 16 november 2011 17:04

Aan de andere kant, als je javascript code in je browser plakt ben je sowieso erg slecht bezig.

En daarom werkte het. De massa weet dat niet en volgt gewoon de instructies op. En dan werkt het.

16 november 2011 16:31

Gelukkig was ik op mijn mobiel op het moment dat ik de link naar die Rihanna post zag. heb het wel geprobeerd, maar het lukte niet. Aangezien ik student ben in de ICT sector dacht ik mijn kennis te verrijken door te weten wat dit was, maar gelukkig was ik daartoe niet in staat..

RobertMe @Gerjannn • 16 november 2011 16:35

Aangezien ik student ben in de ICT sector dacht ik mijn kennis te verrijken door te weten wat dit was, maar gelukkig was ik daartoe niet in staat..

Waarschijnlijk vertrouwde je het dan al niet? Dan heb je wel ballen om het toch te proberen

Ik zou dan toch eerder gewoon kijken wat de code doet. En als het die is wat Novermans hierboven plaatst, de URL van die javascript file openen en die proberen te ontleden. Dan loop je tenminste geen risico en weet je in een keer wat het doet. Als je het "probeert" is de kans alleen maar groot dat je "erin trapt" (stuff ook op jouw profiel komt) en je nog niet weet hoe het werkt.

Domokun 16 november 2011 16:25

Interessant, toevallig is vandaag Firefox 8.0.1 uitgebracht, een niet-geplande update dus. Ik ben benieuwd of die de schuldige is.

ArchNemeziz 16 november 2011 16:44

De aanstootgevende afbeeldingen en video's waren voor vrienden zichtbaar, maar gebruikers konden de plaatjes zelf niet zien.

Wel vreselijk hoor, je vrienden kunnen ervan genieten en je kan zelf niet meegenieten

Carda 16 november 2011 20:32

Carda says: press ALT-F4 for more options!
User 2 quit
User 313 quit
User 23 quit

De meeste mensen weten niet eens wat CTRL-C en CTRL-V doen, allemaal klikadildo's

Op dit item kan niet meer gereageerd worden.