फेसबुक (NASDAQ: FB) के इंजीनियरों द्वारा 25 सितंबर को खोजे गए सुरक्षा उल्लंघन को हमलावरों को उपयोगकर्ता खातों पर सीधे नियंत्रण रखने की अनुमति दी गई थी; उनमें से लगभग 50 मिलियन सटीक होंगे।
नवीनतम फेसबुक सुरक्षा ब्रीच
50 मिलियन के अलावा, फेसबुक ने यह भी कहा कि 40 मिलियन अन्य खाते थे जो संभावित रूप से असुरक्षित थे। सभी ने कहा, आगे की क्षति को रोकने के लिए कंपनी ने 90 मिलियन खातों को लॉग आउट किया।
$config[code] not foundएक सुरक्षा अद्यतन में, फेसबुक ने स्वीकार किया कि हमला अपने कोड में कई मुद्दों की जटिल बातचीत का फायदा उठाने में सक्षम था। यह 2017 के जुलाई में अपने वीडियो अपलोडिंग फीचर में किए गए बदलाव से "व्यू अस" फीचर को प्रभावित करता है।
फेसबुक ने कहा, "हमलावरों को न केवल इस भेद्यता को खोजने की जरूरत थी और इसका उपयोग टोकन प्राप्त करने के लिए किया गया था, फिर उन्हें अधिक टोकन चुराने के लिए उस खाते से अन्य लोगों को पिवट करना पड़ा।"
यह हमला फ़ेसबुक के लिए बुरे समय पर नहीं आ सकता था। कंपनी आगामी मध्यावधि चुनावों से पहले अपनी सुरक्षा का ढिंढोरा पीटने की कोशिश कर रही है, जबकि उसी समय कैंब्रिज एनालिटिका फियास्को से उबरने की कोशिश कर रही है जिसमें लगभग 87 मिलियन उपयोगकर्ताओं के डेटा को एक राजनीतिक परामर्श एजेंसी के साथ साझा किया गया था।
फ़ीचर के रूप में देखें
व्यू अस फ़ीचर उपयोगकर्ताओं को यह देखने की अनुमति देता है कि प्रोफ़ाइल अन्य लोगों को कैसी दिखती है।
हमलावर "व्यू अस" फीचर में तीन खामियों या बग का फायदा उठाने में सक्षम थे। उसी सुरक्षा अपडेट में, इंजीनियरिंग, सुरक्षा और गोपनीयता के उपाध्यक्ष पेड्रो कैनाहुति ने उन खामियों को इस प्रकार सूचीबद्ध किया है:
- दृश्य के रूप में गलत तरीके से वीडियो पोस्ट करने का अवसर प्रदान किया गया।
- वीडियो अपलोडर का एक नया संस्करण (इंटरफ़ेस जो पहले बग के परिणामस्वरूप प्रस्तुत किया जाएगा), जुलाई 2017 में पेश किया गया, गलत तरीके से एक पहुंच टोकन उत्पन्न किया जिसमें फेसबुक मोबाइल ऐप की अनुमति थी।
- जब वीडियो अपलोडर व्यू अस के हिस्से के रूप में दिखाई दिया, तो उसने दर्शकों के लिए एक्सेस टोकन जनरेट किया, लेकिन उपयोगकर्ता के लिए दर्शक देख रहा था।
फेसबुक ने कहा कि उसने सुरक्षा की समीक्षा करते हुए अस्थायी रूप से व्यू अस फीचर को बंद कर दिया है।
फेसबुक एक्सेस करने के लिए ट्रिक जारी करना
इस भेद्यता के साथ, हमलावर फेसबुक को टोकन एक्सेस करने के लिए जारी करने में सक्षम थे। इससे उन्हें उपयोगकर्ता खातों तक पहुंच प्राप्त हुई जैसे कि वे उपयोगकर्ता थे।
उनके पास उन सेवाओं तक भी पहुंच है जो उपयोगकर्ता फेसबुक के उपयोग के लिए पंजीकृत हो सकते हैं जैसे एयरबीएनबी, स्पॉटिफाई, टिंडर या अन्य एप्लिकेशन और गेम।
फेसबुक ने उन 50 मिलियन खातों के एक्सेस टोकन को रीसेट कर दिया है जो प्रभावित थे और साथ ही अतिरिक्त 40 मिलियन खाते भी असुरक्षित थे।
यदि आपका खाता इस घटना से प्रभावित 90 मिलियन में से एक था, तो आपको फेसबुक और किसी भी लिंक किए गए खातों पर फिर से लॉगिन करने के लिए प्रेरित किया जाएगा।
कौन ज़िम्मेदार है?
कॉन्फ्रेंस कॉल (पीडीएफ) गाय रोसेन में, फेसबुक के लिए उत्पाद प्रबंधन के उपाध्यक्ष ने कहा कि कंपनी ने कानून प्रवर्तन को अधिसूचित किया है और एफबीआई के साथ काम कर रही है।
जैसा कि जिम्मेदार है, रोसेन ने कहा कि यह पता लगाना मुश्किल है कि हमले के पीछे कौन था, "हम कभी नहीं जान सकते।"
चित्र: फेसबुक
3 टिप्पणियाँ ▼