Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

De porno-gerelateerde afbeeldingen en video's die recentelijk opdoken op Facebook, zouden het gevolg van een xss-lek in een browser zijn. Volgens Facebook werden gebruikers er toe verleid om javascriptcode in hun url-balk te plakken.

De oorzaak van de stroom aan ongewilde content zou een xss-lek in een niet nader aangeduide browser zijn geweest. Daardoor was het mogelijk om malafide javascriptcode uit te voeren, stelt Facebook. De gebruikers moesten wel zelf de code in hun url plakken, zegt een woordvoerder tegenover Mashable. Vermoedelijk gebeurde dat via een externe enquête. Facebook wil niet zeggen welke browser kwetsbaar was voor de aanvallen en gaf ook geen details over de gebruikte methode.

Bij de linkspam zouden geen persoonlijke gegevens zijn buitgemaakt. Facebook neemt naar eigen zeggen maatregelen om de aanstootgevende weergave in de toekomst te voorkomen. Zo worden Facebook-pagina's die de kwetsbaarheid willen misbruiken, automatisch afgesloten. Bovendien krijgen getroffen gebruikers voorlichting over hoe ze het maken van dezelfde fout in de toekomst kunnen voorkomen.

Duizenden Facebook-gebruikers deden deze week hun beklag over een stroom aan gewelds- en porno-gerelateerde afbeeldingen en video's in hun nieuwsfeeds. De aanstootgevende afbeeldingen en video's waren voor vrienden zichtbaar, maar gebruikers konden de plaatjes zelf niet zien. De vermeende dader is naar verluidt al geïdentificeerd, weet ZDNet. Of hij deel uitmaakt van Anonymous of 4Chan, zoals werd gedacht, is onbekend. Een aanklacht zou inmiddels worden voorbereid.

Moderatie-faq Wijzig weergave

Reacties (62)

FireFox, was zelf zo stom met mijn slaperige kopf =(
Zag Miley C en dacht.. huh? Sextape? naakte vrouw <3 klikken!
Toen stond er dat ik bepaalde toets combo moest make (shift f12 ??) en ctrl+v -> enter moest drukken......
beetje dom van mezelluf :(
+- 1.5u bezig gweest om bij iedereen de meldingen weg te halen =(

[Reactie gewijzigd door Tuumke op 16 november 2011 16:21]

Toch respect dat je het zelf durft toe te geven _/-\o_
Toch respect dat je het zelf durft toe te geven _/-\o_
True, dat soort eerlijkheid zouden meer mensen moeten hebben
http://novogeek.com/post/...ihanna-Facebook-spam.aspx

Dit is volgens mij het zelfde idee, waarbij de user inderdaad wordt verleid om JavaScript in de url-balk te plaatsen.
Volgens mij gaat het ook om deze spam, ik heb iig geen andere gezien, en de nieuwsberichten over de facebookspam werden een dag daarna gepost :)
Dit vermelde ik al in het vorige nieuwsitem als reactie.. Maar dat werd omlaag gemod als offtopic/irrelevant.. En nu wordt het als nieuws gebracht, en lopen mensen nog steeds te gissen hoe het werkt..
Dit was mijn irrelevante post uit het vorige topic:
Ik krijg deze mailtjes sinds gisteren al een paar keer.

Een mailtje met een youtube video waar je 18+ voor moet zijn..
Vervolgens word er zogenaamd een leeftijdsverificatie gedaan waarbij je in de adresbalk moet klikken.. En vervolgens "Ctrl+v" moet doen(javascript in de adresbalk), en vervolgens op enter moet drukken..
Vervolgens wordt het volgende script uitgevoerd die al je vrienden hetzelfde spam bericht stuurt:

http://profviewer.info/new.js
Als ik voor Facebook 'Bank' invul en voor de gewraakte content 'geld' dan gebeuren er rare dingen met mijn interpretatie van hun persbericht. Het kan toch niet zo zijn dat Facebook de oorzaak van het probleem bij de browser legt? Dit is gewoon een flaw in hun security model, die ellende moet gewoon niet naar binnen kunnen ongeacht de browser die gebruikt wordt; period.
Waarschijnlijk doet het scriptje gewoon "versneld" wat een user zelf ook kan doen. Voor zover ik begrijp gebeuren er wel wat rare dingen (als niet facebook gebruiker/kenner). Geen idee hoe die wall precies "werkt", maar dat je plaatjes + tekst op de wall van andere kunt plaatsen lijkt mij nogal raar (of het is gewoon een feature, waarmee het script niks geks doet, want de user kan/mag het ook). Dat je het zelf niet terug ziet lijkt me ook nogal raar.

Op het moment dat jij een formulier invult om content op je pagina te plaatsen, en op het moment dat je op de verzend knop drukt wordt er een event aangeroepen wat alle data (van de invulvelden) verzameld en vervolgens deze doorgeeft om naar facebook te versturen. Dan kan zo'n scriptje natuurlijk ook zelf het verzamelen van data maken (de inhoud vullen met plaatjes van/links naar porno) en dat doorgeven aan facebook als zijnde "dit wil ik als content plaatsen". Facebook kan hier niks aan doen, want zij kunnen niet controleren wat clientside (in jouw browser) gebeurd. Ze zien alleen maar wat op de server binnen komt (plaats dit als content), en daar mee is op zich niks mis. De enige manier voor hen om "filtering" te doen is door de inhoud van berichten te controleren (kijken of er bepaalde woorden inzitten en dan blokkeren), maar hiermee sluit je het gebruik van die woorden helemaal uit, ook voor de echte gebruikers.

Dit is gewoon weer voor 90% een gevalletje "picnic" (problem in chair, not in computer). Het is de gebruiker die een malafide stuk javascript code draait. Dit gebeurd volledig buiten Facebook (en de browser) om.
Een Facebook met een YouTube look-a-like filmpje vraagt om een url te kopiëren en deze te plakken in je adres balk om zogenaamd te controleren of je wel 18+ bent. Ik kan bevestigen dat het virus niets doet in Safari op Mac.
Dat zegt niet zoveel, inmiddels doet het virus nergens meer wat, het is serverside geblocked.

[Reactie gewijzigd door Dreamvoid op 16 november 2011 17:10]

Het is geen virus, maar gewoon een scriptje dat je zelf kiest om uit te voeren (lees 1000 voorgaande berichten).
Een XSS lek in een browser? Het gaat hier toch over crosssite scripting naar ik aanneem? En voor zover ik weet gebeurd dit toch echt puur op HTML (/site) niveau. Dat een formulier op een site slecht beveiligd is waardoor je HTML erin kunt plakke en die HTML zo in de broncode beland. Dus een <script>alert('test');</script> in een formulier invullen en dat die zo in de broncode komt waardoor die "alert('test')" gedraaid wordt (en dus die popup komt).

Daarnaast kun je JavaScript ook uitvoeren/in de URL plaatsen door op een link te klikken (<a href="javascript:alert('test')">Klik hier</a>).

Dit hele verhaal stinkt, en niet zo'n beetje. Als het XSS was is het browser onafhankelijk, en dan nog hangt het verhaal raar in elkaar (URL moeten kopiëren/plakken)
Niet helemaal, chrome laat het niet meer toe dat javasript die in de $_POST of $_GET variabelen staan direct in de source uitgevoerd wordt.
Daardoor is chrome al enigszins beveiligt tegen XSS.

Aan de andere kant, als je javascript code in je browser plakt ben je sowieso erg slecht bezig.
Aan de andere kant, als je javascript code in je browser plakt ben je sowieso erg slecht bezig.
En daarom werkte het. De massa weet dat niet en volgt gewoon de instructies op. En dan werkt het.
Gelukkig was ik op mijn mobiel op het moment dat ik de link naar die Rihanna post zag. heb het wel geprobeerd, maar het lukte niet. Aangezien ik student ben in de ICT sector dacht ik mijn kennis te verrijken door te weten wat dit was, maar gelukkig was ik daartoe niet in staat..
Aangezien ik student ben in de ICT sector dacht ik mijn kennis te verrijken door te weten wat dit was, maar gelukkig was ik daartoe niet in staat..
Waarschijnlijk vertrouwde je het dan al niet? Dan heb je wel ballen om het toch te proberen :P Ik zou dan toch eerder gewoon kijken wat de code doet. En als het die is wat Novermans hierboven plaatst, de URL van die javascript file openen en die proberen te ontleden. Dan loop je tenminste geen risico en weet je in een keer wat het doet. Als je het "probeert" is de kans alleen maar groot dat je "erin trapt" (stuff ook op jouw profiel komt) en je nog niet weet hoe het werkt.
Interessant, toevallig is vandaag Firefox 8.0.1 uitgebracht, een niet-geplande update dus. Ik ben benieuwd of die de schuldige is.
De aanstootgevende afbeeldingen en video's waren voor vrienden zichtbaar, maar gebruikers konden de plaatjes zelf niet zien.

Wel vreselijk hoor, je vrienden kunnen ervan genieten en je kan zelf niet meegenieten 8)7
Carda says: press ALT-F4 for more options!
User 2 quit
User 313 quit
User 23 quit

De meeste mensen weten niet eens wat CTRL-C en CTRL-V doen, allemaal klikadildo's :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True