Come sono stati compromessi gli account Facebook?

L'articolo in Wired ha qualche informazione in più.

The social network says its investigation into the breach began on September 16, when it saw an unusual spike in users accessing Facebook. On September 25, the company’s engineering team discovered that hackers appear to have exploited a series of bugs related to a Facebook feature that lets people see what their own profile looks like to someone else. The "View As" feature is designed to allow users to experience how their privacy settings look to another person.

The first bug prompted Facebook's video upload tool to mistakenly show up on the "View As" page. The second one caused the uploader to generate an access token—what allows you to remain logged into your Facebook account on a device, without having to sign in every time you visit—that had the same sign-in permissions as the Facebook mobile app. Finally, when the video uploader did appear in "View As" mode, it triggered an access code for whoever the hacker was searching for.

Quando un'azione viene eseguita utilizzando la sezione del codice Hack di Facebook, viene eseguita con un contesto visualizzatore. Quel contesto contiene la logica che decide se il pezzo di dati associato può essere restituito. Un esempio di valutazione per il contesto dell'utente sarebbe " if (post.privacy == public || post.privacy == friends && user.is_friend() || post.privacy == custom && user.in_custom_list())... "

La vista come funzionalità, quando funziona correttamente, ti assegnerebbe un contesto di visualizzazione con le autorizzazioni dell'utente selezionato in combinazione con la restrizione che solo i tuoi dati sono visualizzabili.

Questa divulgazione suggerisce che nel contesto del visualizzatore è stata introdotta una falla logica che è stata assegnata per la vista come funzione che in alcune circostanze non ha accoppiato la restrizione speciale che era visibile solo alle informazioni dell'utente richiedente.

Da ciò che posso ipotizzare, hanno utilizzato Visualizza come per ottenere token di accesso per gli account su cui potevano utilizzare la funzione Visualizza come. Questo documento spiega un po 'come funziona: link Puoi visualizzare Come tuo account personale per vedere come cercherà determinati amici di Facebook.

Sembra che 10s di milioni di account abbiano avuto i loro token di accesso compromessi in questo modo dal 2017, quando è stata introdotta una vulnerabilità chiave a causa di un cambiamento nei video di Facebook. La mia ipotesi è che questo abbia usato il grafico dei social network per diffondersi in modo automatico, ma siamo ancora chiari sui dettagli. Dico questo a causa di questa riga dal loro post di aggiornamento sulla sicurezza:

The attackers not only needed to find this vulnerability and use it to get an access token, they then had to pivot from that account to others to steal more tokens.

Fonte: link

Ho trovato un po 'più di informazioni tecniche nel articolo del NY Times :

The attackers exploited two bugs in the site’s “view as” feature, which allows users to view their own profiles as if they were someone else.

That was compounded by a flaw in Facebook’s video-uploading program, a software feature that was introduced in July 2017, the company said. The flaw allowed the attackers to steal so-called access tokens — digital keys that allow access to an account.

E ancora più informazioni su TechCrunch :

Not one, but three bugs led to the data exposure.

In July 2017, Facebook inadvertently introduced three vulnerabilities in its video uploader, said Guy Rosen, Facebook’s vice president of product management, in a call with reporters. When using the “View As” feature to view your profile as someone else, the video uploader would occasionally appear when it shouldn’t display at all. When it appeared, it generated an access token using the person who the profile page was being viewed as. If that token was obtained, an attacker could log into the account of the other person.