Een aanval op Facebook legde informatie bloot over bijna 50 miljoen gebruikers van het sociale netwerk, bedrijf kondigde vrijdag aan — en gaven de aanvallers toegang tot de accounts van die gebruikers bij andere sites en apps waarop ze via Facebook waren ingelogd.
De aanvallers maakten gebruik van een bug in een functie genaamd “View as” waarmee gebruikers hun Facebook-pagina konden zien zoals iemand anders dat zou doen. De aanvallers konden de accounts overnemen en ze gebruiken alsof ze de accounthouders waren. Dat zou inhouden dat ze informatie konden posten of bekijken die door vrienden van dat account werd gedeeld. Facebook zegt dat er geen toegang is verkregen tot creditcardgegevens die bij het bedrijf waren opgeslagen.
Facebook (Facebook) zei dat het niet weet wie de aanvallers waren of waar ze zich bevonden. Het zei ook dat het het probleem al had opgelost en de FBI en andere wetshandhavers, evenals wetgevers en toezichthouders, had geïnformeerd. Het heeft ook de Ierse Commissie voor gegevensbescherming geïnformeerd over de inbreuk, een stap die vereist is door de Europese AVG-regelgevingDe commissie zei dat ze de melding had ontvangen, maar maakte zich zorgen over de timing en het gebrek aan details.
Meer dan 90 miljoen gebruikers werden door Facebook gedwongen uitgelogd van hun accounts en moesten vrijdag om veiligheidsredenen opnieuw inloggen. De accounts van Facebook CEO Mark Zuckerberg en COO Sheryl Sandberg behoorden tot de 90 miljoen accounts die door Facebook gedwongen werden uitgelogd.
Gebruikers hoeven geen extra veiligheidsmaatregelen te nemen of hun wachtwoorden opnieuw in te stellen, aldus Facebook. Alle uitgelogde gebruikers ontvangen een melding over het probleem van Facebook, maar het vertelt hen niet of ze tot de groep van 50 miljoen getroffenen behoorden of tot de groep van 40 miljoen die als voorzorgsmaatregel waren opgenomen.
De aanvallers zouden ook toegang hebben gehad tot diensten of sites van derden die met een Facebook-login zijn geopend, zei Guy Rosen van Facebook in een vervolggesprek met verslaggevers op vrijdag, hoewel het nog niet duidelijk is of ze dat hebben gedaan. Het zou ook Instagram-accounts kunnen hebben getroffen die dezelfde login gebruiken als Facebook, maar Rosen zei dat WhatsApp, dat ook eigendom is van Facebook, niet is getroffen. Het is de grootste hack ooit voor Facebook, zei een woordvoerder.
Het bedrijf zegt niet te weten of de getroffen accounts op enigerlei wijze zijn misbruikt of dat er daadwerkelijk toegang is verkregen tot gebruikersinformatie. Het heeft niet vastgesteld of er specifieke locaties of accounts zijn aangevallen. Het heeft de functie ‘Weergeven als’ uitgeschakeld die de aanvallers hebben uitgebuit tijdens het onderzoek.
“Uit ervaring blijkt dat inbreukmeldingen als deze altijd erger worden naarmate de tijd verstrijkt en informatie uit onderzoeken met het publiek wordt gedeeld”, aldus Jessy Irwin, hoofd beveiliging bij cybersecuritybedrijf Tendermint. “Er is niet veel openbaar over hoe die (gekoppelde) accounts worden beïnvloed, maar dit lijkt veel dieper in het hele ecosysteem van Facebook te gaan dan Cambridge Analytica deed.”
Facebook zegt dat de kwetsbaarheid het resultaat is van drie afzonderlijke bugs en oorspronkelijk verscheen in juli 2017 toen het bedrijf een wijziging aanbracht in een functie voor het uploaden van video’s. Het bedrijf ontdekte voor het eerst een ongebruikelijke activiteit — een piek in gebruikerstoegang tot de site — op 16 september 2018. Het startte een onderzoek en ontdekte deze aanval op dinsdag 25 september. Op woensdag waarschuwde het de wetshandhaving en op donderdagavond loste het de kwetsbaarheid op en begon het met het resetten van login-tokens, aldus Facebook.
De aanvallers stalen Facebook “toegangstokens” die ervoor zorgen dat iemand lange tijd ingelogd blijft op zijn Facebook-account, zodat hij niet steeds opnieuw hoeft in te loggen. Facebook resette alle 50 miljoen tokens, evenals tokens voor nog eens 40 miljoen mensen die de “Weergeven als”-functie in het afgelopen jaar hadden gebruikt als “voorzorgsmaatregel”. De reset ontkoppelde ook accounts zoals Instagram en Oculus, die beide eigendom zijn van Facebook, die gebruikers opnieuw moeten koppelen.
“De realiteit is dat we voortdurend worden aangevallen door mensen die accounts willen overnemen of informatie willen stelen. We moeten meer doen om te voorkomen dat dit überhaupt gebeurt,” zei CEO Mark Zuckerberg tijdens een telefoongesprek met verslaggevers kort na de aankondiging.
De aankondiging is de laatste nummer voor het bedrijf, dat worstelt met beveiligingsinbreuken, privacyproblemen En misinformatie in de afgelopen jaren. Facebook zegt dat het zwaar investeert in beveiliging en het aantal mensen dat aan beveiliging werkt verhoogt van 10.000 naar 20.000.
“Veiligheid is een wapenwedloop “En we blijven onze verdediging verbeteren”, aldus Zuckerberg.
— Donie O’Sullivan, Laurie Segall en Sara O’Brien van CNN leverden een bijdrage aan de verslaggeving.
CNNMoney (San Francisco) Eerste publicatie 28 september 2018: 12:58 PM ET