Még nagyobb bajt okozhatott a Facebook múlt heti, 50 millió felhasználó fiókjának feltörésével járó adatlopási botránya, mint eddig hitték, írja a Guardian. A hackerek ugyanis azokkal a "zsetonoknak" nevezett, automatikus bejelentkezést lehetővé tevő hitelesítő adatokkal éltek vissza, melyek egy sor külső alkalmazást is a közösségi oldalhoz kapcsolnak, egyebek mellett a Spotify-t, a Tindert és az Airbnb-t is. A Facebook-zsetonok már 2017 júliusa óta sebezhetőek, ám erre csak az elmúlt hónapban döbbentek rá a cég mérnökei, miután a megszokottól eltérő bejelentkezéseket észleltek.
A hackertámadás hatásait még mindig vizsgálják, de kutatók állítják: a károk messze a közösségi oldal határain túl terjedhetnek. Jason Polakis, az Illinoisi Egyetem adjunktusa és a téma szakértője szerint a facebookos adatlopás potenciálisan külső alkalmazások és weblapok ezreihez nyújtott hozzáférést a hackereknek.
Bár a Facebook az adatlopás felfedezésekor azonnal kiléptette az érintett felhasználókat, és frissítette a zsetonjaikat, ha a hackerek a facebookos zsetonon keresztül már beléptek a külső alkalmazásokba, akkor akár még most is bennük lehetnek, mert a Facebook-zsetonok megváltozásával a harmadik fél még nem rúgta ki őket automatikusan a saját felületeiről. Polakis szerint több olyan oldalt is találtak, melyeken a támadók - a facebookos zsetonoknak köszönhetően már belülről - anélkül is megváltoztathatják a felhasználó bejelentkezéshez használatos e-mailcímét és jelszavát, hogy az eredetit ismernék. Polakis és kollégái a 29 (meg nem nevezett) legnépszerűbb oldalon próbálták ki, meg tudják-e változtatni a bejelentkezési adatokat akkor is, ha a Facebook-zsetont már módosították, és azt találták, hogy közülük 22-nél ez gond nélkül megvalósítható.
Tetézi a bajt, hogy nem számít, ha a felhasználó sohasem lépett be harmadik oldalra a Facebookon keresztül: elég, ha mindkét oldalra ugyanazzal az e-mailcímmel regisztrált, és máris hozzáférhető a külső fiók is. Az sem számít, ha a felhasználónak nincs még tárhelye a harmadik oldalon: a hacker a zsetonon keresztül létre tud hozni egyet, és ekkor már csak meg kell várnia, hogy egyszer az adott felhasználó bejelentkezzen, és máris el tudja lopni a személyes adatait.
A Facebook a felfedezésre közleményben reagált, melyben azt írták, nem találtak bizonyítékot arra, hogy a hackerek harmadik oldalakra törtek volna be a zsetonokkal, illetve azok az appok, melyeket a cég hivatalos szoftverfejlesztő csomagjával készültek, védve kellett, hogy legyenek, amikor újraállították a zsetonokat. A külsős csomagokkal készült appok viszont valóban veszélyben lehetnek.
A Facebook felelősségét az ír adatvédelmi hatóság vizsgálja a hackertámadás ügyében. A folyamat hónapokig is eltarthat, és a cég akár 1,63 milliárd dolláros bírságot is kaphat.