Facebook siger, at 50 millioner brugerkonti er berørt af sikkerhedsbrud

Facebook rapporterede om et større sikkerhedsbrud, hvor 50 millioner brugerkonti blev tilgået af ukendte angribere.

Angriberne fik muligheden for at "gribe kontrollen" over disse brugerkonti, Facebook sagde, ved at stjæle digitale nøgler, som virksomheden bruger til at holde brugere logget ind. De kunne gøre det ved at udnytte tre forskellige fejl i Facebooks kode.

Virksomheden sagde, at det har rettet fejlene og logget de 50 millioner overtrådte brugere ud – plus yderligere 40 millioner, der var sårbare over for angrebet – for at nulstille disse digitale nøgler. Brugere behøver ikke at ændre deres Facebook-adgangskoder, den sagde.

Facebook sagde, at det ikke ved, hvem der stod bag angrebene, eller hvor de er baseret. I et opkald med journalister fredag, Administrerende direktør Mark Zuckerberg - hvis egen konto blev kompromitteret - sagde, at angribere ville have haft mulighed for at se private beskeder eller poste på en andens konto, men der er ingen tegn på, at de gjorde det.

"Vi ved endnu ikke, om nogen af ​​konti rent faktisk er blevet misbrugt, " sagde Zuckerberg.

Hacket er det seneste tilbageslag for Facebook i et tumultarisk år med sikkerhedsproblemer og privatlivsproblemer. Indtil nu, selvom, ingen af ​​disse problemer har rokket væsentligt ved tilliden hos virksomhedens 2 milliarder globale brugere.

Dette seneste hack involverede fejl i Facebooks "Se som"-funktion, som lader folk se, hvordan deres profiler fremstår for andre. Angriberne brugte denne sårbarhed til at stjæle de digitale nøgler, kendt som "adgangstokens, " fra konti for personer, hvis profiler blev søgt efter ved hjælp af "Se som"-funktionen. Angrebet flyttede derefter fra en brugers Facebook-ven til en anden. Besiddelse af disse tokens ville gøre det muligt for angribere at kontrollere disse konti.

En af fejlene var mere end et år gammel og påvirkede, hvordan "Se som"-funktionen interagerede med Facebooks videoupload-funktion til at sende "tillykke med fødselsdagen"-beskeder, sagde Guy Rosen, Facebooks vicepræsident for produktledelse. Men det var først i midten af ​​september, at Facebook bemærkede en stigning i usædvanlig aktivitet, og først i denne uge, at den fik kendskab til angrebet, sagde Rosen.

"Vi har endnu ikke været i stand til at afgøre, om der var specifik målretning" af bestemte konti, sagde Rosen i et opkald med journalister. "Det virker bredt. Og vi ved endnu ikke, hvem der stod bag disse angreb, og hvor de kan være baseret."

Hverken adgangskoder eller kreditkortdata blev stjålet, sagde Rosen. Han sagde, at virksomheden har advaret FBI og regulatorer i USA og Europa.

Jake Williams, en sikkerhedsekspert hos Rendition Infosec, sagde, at han er bekymret for, at hacket kunne have påvirket tredjepartsapplikationer.

Williams bemærkede, at virksomhedens "Facebook Login"-funktion lader brugere logge ind på andre apps og websteder med deres Facebook-legitimationsoplysninger. "Disse adgangstokens, der blev stjålet, vises, når en bruger er logget ind på Facebook, og det kan være nok til at få adgang til en brugers konto på et tredjepartswebsted, " han sagde.

Facebook bekræftede sent fredag, at tredjepartsapps, samt sin egen Instagram-app, kunne være blevet påvirket.

"Sårbarheden var på Facebook, men disse adgangstokens gjorde det muligt for nogen at bruge kontoen, som om de selv var kontoindehaveren, " sagde Rosen.

Nyheden kom tidligt i år om, at et dataanalysefirma engang var ansat i Trump-kampagnen, Cambridge Analytica, havde uretmæssigt fået adgang til personlige data fra millioner af brugerprofiler. Så viste en kongresundersøgelse, at agenter fra Rusland og andre lande har postet falske politiske annoncer siden mindst 2016. I april Zuckerberg optrådte ved en kongreshøring med fokus på Facebooks privatlivspraksis.

Facebook-fejlen minder om et meget større angreb på Yahoo, hvor angriberne kompromitterede 3 milliarder konti – nok til halvdelen af ​​hele verdens befolkning. I tilfældet Yahoo, stjålne oplysninger omfattede navne, email adresse, telefonnumre, fødselsdatoer og sikkerhedsspørgsmål og -svar. Det var blandt en række Yahoo-hacks gennem flere år.

Amerikanske anklagere gav senere russiske agenter skylden for at bruge de oplysninger, de stjal fra Yahoo til at spionere på russiske journalister. Amerikanske og russiske embedsmænd og ansatte i finansielle tjenester og andre private virksomheder.

I Facebooks tilfælde, Det kan være for tidligt at vide, hvor sofistikerede angriberne var, og om de var forbundet med en nationalstat, sagde Thomas Rid, professor ved Johns Hopkins University. Rid sagde, at det også kunne være spammere eller kriminelle.

"Intet, vi har set her, er så sofistikeret, at det kræver en statslig aktør, " sagde Rid. "halvtreds millioner tilfældige Facebook-konti er ikke interessante for nogen efterretningstjeneste."

Ed Mierzwinski, seniordirektøren for forbrugeradvokatgruppen U.S. PIRG, sagde, at bruddet var "meget bekymrende".

"Det er endnu en advarsel om, at Kongressen ikke må vedtage nogen national lovgivning om datasikkerhed eller databrud, der svækker den nuværende statslige privatlivslovgivning, foregriber staternes ret til at vedtage nye love, der beskytter deres forbrugere bedre, eller nægter deres advokaters generelle rettigheder til at efterforske overtrædelser af eller håndhæve disse love, " sagde han i en erklæring.

Wedbush-analytiker Michael Pachter sagde "det vigtigste punkt er, at vi fandt ud af dem, " betyder Facebook, i modsætning til en tredjepart.

"Som bruger Jeg ønsker, at Facebook proaktivt beskytter mine data og giver mig besked, når de er kompromitteret, " han sagde.

© 2018 The Associated Press. Alle rettigheder forbeholdes.