2018. október 3. 09:45
mfor.hu

Az 50 millió felhasználó fiókját feltörő hackerek a Facebook-tárhelyeken keresztül bejutottak olyan appokba is, melyek a Facebook-bejelentkezést megkönnyítő programon keresztül voltak a közösségi oldalra kapcsolva. Érintett a Tinder, a Spotify és az Airbnb is.

Még nagyobb bajt okozhatott a Facebook múlt heti, 50 millió felhasználó fiókjának feltörésével járó adatlopási botránya, mint eddig hitték, írja a Guardian. A hackerek ugyanis azokkal a "zsetonoknak" nevezett, automatikus bejelentkezést lehetővé tevő hitelesítő adatokkal éltek vissza, melyek egy sor külső alkalmazást is a közösségi oldalhoz kapcsolnak, egyebek mellett a Spotify-t, a Tindert és az Airbnb-t is. A Facebook-zsetonok már 2017 júliusa óta sebezhetőek, ám erre csak az elmúlt hónapban döbbentek rá a cég mérnökei, miután a megszokottól eltérő bejelentkezéseket észleltek.

A hackertámadás hatásait még mindig vizsgálják, de kutatók állítják: a károk messze a közösségi oldal határain túl terjedhetnek. Jason Polakis, az Illinoisi Egyetem adjunktusa és a téma szakértője szerint a facebookos adatlopás potenciálisan külső alkalmazások és weblapok ezreihez nyújtott hozzáférést a hackereknek. 

Bár a Facebook az adatlopás felfedezésekor azonnal kiléptette az érintett felhasználókat, és frissítette a zsetonjaikat, ha a hackerek a facebookos zsetonon keresztül már beléptek a külső alkalmazásokba, akkor akár még most is bennük lehetnek, mert a Facebook-zsetonok megváltozásával a harmadik fél még nem rúgta ki őket automatikusan a saját felületeiről. Polakis szerint több olyan oldalt is találtak, melyeken a támadók - a facebookos zsetonoknak köszönhetően már belülről - anélkül is megváltoztathatják a felhasználó bejelentkezéshez használatos e-mailcímét és jelszavát, hogy az eredetit ismernék. Polakis és kollégái a 29 (meg nem nevezett) legnépszerűbb oldalon próbálták ki, meg tudják-e változtatni a bejelentkezési adatokat akkor is, ha a Facebook-zsetont már módosították, és azt találták, hogy közülük 22-nél ez gond nélkül megvalósítható.

Tetézi a bajt, hogy nem számít, ha a felhasználó sohasem lépett be harmadik oldalra a Facebookon keresztül: elég, ha mindkét oldalra ugyanazzal az e-mailcímmel regisztrált, és máris hozzáférhető a külső fiók is. Az sem számít, ha a felhasználónak nincs még tárhelye a harmadik oldalon: a hacker a zsetonon keresztül létre tud hozni egyet, és ekkor már csak meg kell várnia, hogy egyszer az adott felhasználó bejelentkezzen, és máris el tudja lopni a személyes adatait.

A Facebook a felfedezésre közleményben reagált, melyben azt írták, nem találtak bizonyítékot arra, hogy a hackerek harmadik oldalakra törtek volna be a zsetonokkal, illetve azok az appok, melyeket a cég hivatalos szoftverfejlesztő csomagjával készültek, védve kellett, hogy legyenek, amikor újraállították a zsetonokat. A külsős csomagokkal készült appok viszont valóban veszélyben lehetnek.

A Facebook felelősségét az ír adatvédelmi hatóság vizsgálja a hackertámadás ügyében. A folyamat hónapokig is eltarthat, és a cég akár 1,63 milliárd dolláros bírságot is kaphat.