21:16
28/9/2018

Jeśli Facebook wylogował Cię dziś z Twojego konta w aplikacji mobilnej i przeglądarce na komputerze, to mocno współczujemy: ktoś mógł mieć dostęp do Twojego konta i Twoich prywatnych danych. Facebook właśnie poinformował o dziurze, która od roku pozwalała na nieautoryzowany dostęp do kont użytkowników. I co gorsza, ktoś według Facebooka z tego błędu masowo korzystał…

Błąd w funkcji “Wyświetl ten profil jako”

Oficjalny opis błędu przed kilkoma godzinami pojawił się w serwisie prasowym Facebooka. Niestety, nie zawiera on bogatego w szczegóły techniczne opisu błędu. Jedyne co wiemy, to że:

jest pewne, iż atakujący wykorzystali błąd w kodzie funkcji “View as” (“Wyświetl jako”), która pozwala na podejrzenie jak Twój profil jest widziany przez kogoś innego. Błąd umożliwiał kradzież tokenu sesyjnego, który mógł zostać użyty do przejęcia kontroli nad cudzym kontem. Tokeny są ekwiwalentem “cyfrowych kluczy”, które aplikacja Facebooka i przeglądarka internetowa wykorzystuje do automatycznego logowania użytkownika na jego konto, tak aby nie musiał wprowadzać swojego hasła za każdym razem.

Dodatkowo, z informacji przekazanych dziennikarzom podczas telekonferencji wynika, że atakujący wykorzystali w sumie 3 błędy. Pierwszy z nich pokazywał przycisk pozwalający wgrywać video podczas oglądania czyjegoś profilu poprzez funkcję “View As”. Przycisk ten nie pojawiał się zawsze, ale wtedy, kiedy oglądany profil miał “post specjalny”, np. w trakcie urodzin, na postach “zachęcających do składania życzeń”. Analiza podpiętego pod przycisk skryptu pozwalała na wyciągnięcie tokena pasującego do konta osoby, którą użytkownik ustawiał jako ta, której oczami chciał oglądać swój profil. A ten token można było wykorzystać do zalogowania się do aplikacji mobilnej… Atakujący, aby zebrać 50 milionów tokenów, musieli zautomatyzować atak. Z przejętego konta, pobierali tokeny wszystkich znajomych ofiary i potem znajomych znajomych, i tak dalej. “Szum” wygenerowany takim działaniem na masową skalę postawił Facebooka na nogi.

Należy podkreślić, że hasła użytkowników Facebooka nie wyciekły. Nie trzeba ich zmieniać. Ale niestety, w przypadku tej dziury, hasła nie były do niczego potrzebne atakującym. Mając token mieli dostęp do praktycznie wszystkich danych użytkownika–ofiary, także do jego prywatnych rozmów.

Bo co do zasady, jeśli ktoś dysponuje czyimś tokenem sesyjnym, to może uzyskać dostęp do konta tej osoby i robić na nim wszystko to co “prawowity właściciel”. O ile jakaś akcja nie wymaga dodatkowej formy uwierzytelnienia, np. ponownego wprowadzenia hasła. A Facebook w przypadku modyfikacji niektórych ważnych opcji, na szczęście, o ponowne wprowadzenie hasła prosi. Przykładowo, bez znajomości starego hasła właściciela konta nie zmienicie mu hasła na nowe ani nie wyłączycie komuś dwuetapowego uwierzytelnienia:

Warto tu przy okazji zauważyć, że nie ma znaczenia, czy ktoś miał skonfigurowane dwuetapowe uwierzytelnienie. Bo token sesyjny to jest coś, co aplikacja generuje już po przejściu pierwszego kroku uwierzytelnienia (podanie hasła) i drugiego kroku uwierzytelnienia (przepisanie kodu z SMS/aplikacji czy użycia klucza U2F). A więc posiadanie włączonego dwuetapowego uwierzytelnienia nie chroni przed nieautoryzowanym dostępem do konta w sytuacji wycieku tokenu sesyjnego!

Co ciekawe, błąd istniał od ponad roku i został wprowadzony podczas zmian jakie Facebook wprowadzał w funkcji wgrywania video.

Reset sesji 90 milionów użytkowników

Facebook nagły wzrost ruchu na serwisie zauważył 16 września, a dziurę odkrył 25 września. Dziś zaś podjęto decyzję o resecie tokenów sesyjnych 50 milionom osób, które zostały dotknięte atakiem.

Ale jeśli Facebook kazał Ci dziś zalogować się jeszcze raz, to nie oznacza od razu, że jesteś “ofiarą” i ktoś miał nieautoryzowany dostęp do Twojego konta!

A to dlatego, że poza 50 milionami ofiar, Facebook zresetował tokeny sesyjne także 40 dodatkowym milionom osób, których profile użyto w ramach funkcji “View As” w trakcie minionego roku. Czyli, jeśli ktoś z Twoich znajomych sprawdzał jak z Twojego konta widzi swój profil, to zostałeś dziś wylogowany, ale niekoniecznie to oznacza, że atakujący wykradli Twój token i wykradali Twoje dane.

Niestety, nie da się jak na razie stwierdzić, czy ktoś kto dziś został wylogowany był w grupie 50 milionów ofiar, czy 40 milionów użytkowników, którym tokeny Facebook zresetował prewencyjnie…

Kto odkrył i wykorzystywał tę dziurę do kradzieży danych?

50 milionów poszkodowanych osób wskazuje raczej na masowy “crawling” danych, np. ukrytych kontaktowych numerów telefonów, a nie ukierunkowane działania polegające np. na wykradaniu prywatnych rozmów z Messengera. Ale niestety, kradzież zapisów prywatnych rozmów też technicznie była możliwa. Facebook, choć sugeruje, że atakujący podglądali jedynie dane profilowe a nie prywatne rozmowy, to jednocześnie przyznaje, że (jeszcze) nie ma stuprocentowej pewności co do tego, jak atakujący wykorzystywali nieautoryzowane dostępy do kont.

Facebook nie wie też, kto stoi za atakiem, ale wciąż analizuje incydent i odkrywa nowe ślady. O tym co już udało się odkryć, Facebook powiadomił organy ściągania. Można się więc domyślać, że firma wie więcej niż obecnie zdradza użytkownikom i zapewne dysponuje informacjami, które mogą pomóc namierzyć osoby wykorzystujące dziurę do kradzieży danych z profili użytkowników serwisu. Sam fakt, że Facebook wie kto korzystał z funkcji View As w ciagu ostatniego roku poKazuje, jak szczegółowe jest logowanie po stronie Facebooka.

Facebook w komunikacje obiecuje użytkownikom, że ich też będzie informować na bieżąco o nowych ustaleniach. Zapewne niebawem dowiemy się, jakie informacje z kont poszkodowanych faktycznie zostały “pobrane” przez atakujących.

Co ciekawe, za tak “straszny” błąd Facebook wypłaca nagrody w ramach swojego programu Bug Bounty. Pewnie byłoby to sporo ponad 100 000 PLN. A więc jeśli ktoś się zdecydował na wykorzystanie tego błędu, a nie zaraportowanie go do Facebooka, to można przypuszczać, że wie jak na tych danych zarobić więcej niż 100 000 PLN

Mam Facebooka i mnie wylogowało — co robić, jak żyć?

Ten incydent to bolesne, ale potrzebne przypomnienie, że dwuskładnikowe logowanie nie jest cudownym zabezpieczeniem przed wszystkimi atakami. Oczywiście dalej należy je włączać wszędzie tam, gdzie się da, bo doskonale chroni przed najpopularniejszymi błędami bezpieczeństwa, czyli korzystaniem przez użytkowników z tych samych lub haseł w wielu serwisach.

Przykładowo, jeśli takie samo hasło jak do Facebooka Jaś miał także w serwisie neo24.pl to ma problem. Bo baza serwisu neo24.pl została niedawno wykradziona i opublikowana w internecie. Teraz każdy może ją pobrać, “złamać” hasło Jasia i następnie tym samym hasłem zalogować się na jego konto na Facebooku. Gdyby Jaś miał miał włączone dwuetapowe uwierzytelnienie (a powinien!) to nawet znajomość jego hasła, nie ważne czy z wycieku z neo24.pl czy od wróżki, niczego by nie dała atakującemu.

Niestety, to cudowne dwuskładnikowe logowanie w żadnym wypadku nie uchroni nas w sytuacji wykradzenia tokenu sesyjnego. A token można ukraść:

O tych i innych pułapkach, jakie czyhają na programistów opowiadamy na szkoleniach z Atakowania i Ochrony Webaplikacji — to bardzo potrzebna wiedza, którą warto zdobyć żeby pisać bezpieczniejszy kod (poczytajcie opinie uczestników ostatnich terminów tego szkolenia).

Ale nie tylko programiści mają wpływ na bezpieczeństwo danych użytkowników. Także oni sami (do pewnego stopnia) mogą ograniczać incydenty. Dlatego właśnie, na naszych otwartych wykładach skierowanych do wszystkich pt. “Jak nie dać się zhackować?” jedną z rad na czerwonym tle jest:

Wszystko co przesyłasz przez internet (i trzymasz na komputerze lub smartfonie) traktuj jako publicznie dostępne. Na zawsze i dla każdego.

Ta rada dotyczy także “prywatnych” rozmów na Facebooku, choć wiele wskazuje że w tym ataku one nie ucierpiały. Proponujemy abyś popatrzył teraz w historię swoich facebookowych czatów. I zastanowił się, czy gdyby coś z nich wyciekło, to mocno by Cię to skompromitowało? Może warto już teraz skasować historię rozmów, do których nie potrzebujesz wracać? Ten błąd w Facebooku nie jest pierwszym i zapewnie nie będzie ostatnim. Załóż więc najgorsze i przygotuj się już dziś na wyciek wszystkich swoich prywatnych danych. Teraz, bo później może być za późno. W temacie bezpiecznej komunikacji polecamy zwłaszcza lekturę tego artykułu.

Jak zabezpieczyć się przed wyciekiem (nie tylko z Facebooka)?

O tym jak dbać o swoją prywatność tak, żeby nawet tego typu incydenty jak ten w Facebooku nie były dla Ciebie problemem opowiadamy na naszym wykładzie pt. “Jak nie dać się zhackować?“.

Jeśli chcesz dowiedzieć się jak lepiej chronić swoją prywatność oraz jak zabezpieczyć swój komputer i smartfon przed atakami i swoją prywatność przed naruszeniem, to zapraszamy do:

W tych miastach o godz. 18:00 odbędzie się nasz wykład pt. Jak nie dać się zhackować?. Rezerwacji miejsca można dokonać tutaj.


Aktualizacja 28.09.2018, 22:00
Zaktualizowaliśmy artykuł o informację, że dziura to tak naprawdę połączenie 3 błędów bezpieczeństwa.

PS. W internecie krąży też “teoria”, że Facebook poinformował o błędzie tak szybko, ze strachu przed RODO (GDPR). Nie jest to dobry kierunek myślenia. Serwis zresetował tokeny 90 milionom uzytkowników — to nie mogło zostać niezauważone. Było pewne, że ludzie zaczną dociekać o co chodzi. Naszym zdaniem reakcja Facebooka jest wzorowa. Naprawdę błędy (zwłaszcza takie) mogą zdarzyć się każdemu i niewiele więcej można w takiej sytuacji zrobić.

Aktualizacja 03.10.2018, 8:41

Polski Urząd Ochrony Danych osobowych poinformował, że przystąpił do postępowania dotyczącego tego wycieku danych. Co prawda postępowanie prowadzi urząd z Irlandii (zgodnie z przepisami art. 56 RODO), jednak działa on również w imieniu wszystkich krajowych organów nadzorczych zainteresowanych tematem. Polski UODO uważa, że naruszenie mogłowpłynąć na osoby mieszkające w Polsce. UODO będzie więc miał wgląd w stosowne informacje dotyczące tego naruszenia, a także będzie mógł zgłosić swoje uwagi do decyzji, nad którą pracuje organ irlandzki.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

82 komentarzy

Dodaj komentarz
  1. Ciekawe kiedy w dark-net będą dane do kupienia solidna baza e-maili

  2. Mnie wylogowało nie tylko z fb. Z kilku innych serwisów też. Co jest więc?

    • @ Lukasz Pewnie logowałeś się do nich za pomocą FB.

    • Nie. Serwisy i fora niezwiązane z fb

    • Chrome update?

  3. Problemy XXI wieku. Jak żyć bez Facebooka. Na szczęście mnie to nie dotyczy. Żyję bez Facebooka i jestem szczęśliwy :)

    • Neo spokojnie, juz lece po Ciebie, z tabletka w kieszeni…

  4. Czyli jaki wniosek? Nie mieć Facebooka ;)

    • A wtedy czeka Cię, być może, ostracyzm społeczny – na Facebooku w ramach grup funkcjonują np. roczniki studenckie (ja np. dołączyłam do Facebooka dlatego, że musiałam jakoś komunikować się z grupą na studiach – nikt już nie korzystał z for i maili), także pracodawcy coraz częściej korzystają z grup, m.in. w przypadku pracy zdalnej. Oczywiście można mieć fake konto, pytanie tylko, czy w ramach tych fake kont będziesz prowadzić fake rozmowy.

    • @austra

      a jak koledzy będą skakać na główkę do płytkiej wody, też skoczysz z obawy przed “ostracyzmem społecznym”? a może jak pracodawca każe?

      trzeba myśleć swoim rozumem, a nie iść ślepo za cudzymi pomysłami – inaczej całe życie staje się fejkowe a nie tylko rozmowy

    • @austra
      gratulacje dla pracodawcy który korzysta z darmowych serwisów firm trzecich bez żadnej umowy z nimi (fachowcy mówią SLA) do korespondencji służbowej. Tam gdzie ja pracuję facebog i inne darmowe usługi z internetu są zablokowane w obawie przed wyciekami danych klientów, insider trading, brakiem poufności, “wynoszeniem” kodu z firmy itd. Ciekawe czy masz szanse wygrać z FB w sądzie, kiedy np. przez nieoczywiste ustawienia prywatności np. ktoś ukradnie ci bazę klientów, podkupi pracowników itp.

    • Nie. Wniosek z tego taki, by nie zakładać konta na Facebooku ze swoimi prawdziwymi danymi osobowymi.

    • Ja nie posiadam i bez problemu żyje Jeszce rok temu miałem ale konto skasowałem i nawet mnie tam nie ciagnoe dziewczyny wola smsy pisac jak skedzieć na pprtalach przynajmniej u mnie

  5. Ja po wylogowaniu wszystkich sesji nie mogę się dostać z powrotem na konto. Mialem ustawione tak, zeby kazde logowanie z niezaufanego urzadzenia musialo zostac potwierdzone generatorem kodow lub z zalogowanego urzadzenia. Po wylogowaniu nie mam dostepu do obu tych rzeczy, wiec wpadam w petle. Smsy na numer podany przy rejestracji nie dochodza, support facebooka wywala blad przy robieniu zgloszenia.
    Jakis pomysl co z tym zrobic na szybko?

    • Hahah to samo, i jeszcze kilka innych ciekawych błędów. O zmianie hasła przez email nie wspominając … wielkie g…

    • Może odkryjesz w końcu że istnieje świat poza facezbokiem.

    • I znajdziesz żonę

    • …i spłodzisz dzieci!

  6. Przy takiej ilości “Pokus” do przewidzenia …mimo Totalnie obwarowanych “Regulaminów” pozwy będą na miliony …ale nie zazdroszczę firmom współpracującym …tak na poważnie to chyba “Power Point” się nie sprawdza …z jednej strony “Gratulacje dla Łomociarzy…” z drugiej …hmmm mieć Panownie nad “Messengerem” ;-) i “Tajnymi Grupami” …

  7. Mnie wylogowali.
    Wydaje mi się, że w ostatnich dniach wyłączyli możliwość sprawdzania historii logowań.
    Miejsce logowania wskazuje tylko ostatnie aktywne. Jeszcze tydzień temu mogłem sprawdzić, kilkanaście pozycji z historii.

    • To samo zauważyłem po wylogowaniu przedwczoraj. Nie mogłem sprawdzić historii logowań na konto :(

  8. Do Koniecznego:

    dlaczego gosc zajmujacy sie zawodowo atakami, bezpieczenstwem i ochrona danych posiada konto na tym FB i DOBROWOLNIE umieszcza na swoim profilu wszelakie dane prywatne oraz osobowe? Jest tu jakas logika?

    • Jest.

    • Dlaczego niebezpiecznik.pl wciąż istnieje? Przecież tu są dane użytkowników! Proponuję żeby specjaliści od bezpieczeństwa przypinali artykuły do tablicy korkowej na bazarze.

      P. S.
      Sprzedam tablice korkową

    • Tablicy z bloczków korkowych czyli: CORKBLOCK

  9. Mnie wylogowało dopiero o 23:05. Co ciekawe na messengerze na telefonie mogłem zalogować się za pomocą facebooka (bez uprzedniego ponownego logowania tam), a potem wchodząc na facebooka musialem tez zalogowac sie jeszcze raz.

    Wiecie coś o tym ? Opóźniony zapłon, czy kolejna dziura ?

    • Dziura która czasem pozwala wbić się na messengera bez dwuetapowej weryfikacji jak przejmiesz komuś maila. :)

  10. Zarzucę taką małą ciekawostką. Otóż w sieci pojawił się pewien “hakier”, który miał przeprowadzić atak na konto założyciela tego portalu i uwiecznić to wszystko na transmisji. Obserwując profil “hakiera” na Facebooku możemy zauważyć, że jest bardzo smutny po naprawieniu błędów przez Facebooka. Czyżby tym właśnie o to sposobem chciał włamać się na konto Zuckerberga? Mógł to zrobić znacznie szybciej, to zgarnąłby nagrodę za bug bounty, a tak to jedynie może sobie dalej chcieć.

  11. Ciekawe czy ten błąd został wykorzystany przy SCAM’ie z okularami Ray-Ban’a. Czasami można się było natknąć na FB na obrazki wrzucane przez znajomych o tym, że jest promocja na okulary Ray-Ban’a + link do fałszywej strony, oczywiście znajomi nic nie wiedzieli :P

    • @ZRTSIM

      zazwyczaj zintegrowane z fb aplikacje publikują tego typu spam w imieniu nieświadomego użytkownika

    • @ZRTSIM
      Tata to rozsyłał, nie było tam podanej żadnej aplikacji

  12. Mnie nie wylogowalo ale ostatnio po zakończeniu wszystkich sesji
    Nie mogłem zalogować się do messengera

    Ostatnio mam błąd że N tablicy nie pojawiają się post z stron polubionych właśnie też z niebezpiecznika ktoś coś?

    • @Strażak_Lukas

      mam takie zgłoszenia od userów (tak, niektórzy z nich używają FB) i wg mojej oceny niepojawianie się postów ze “stron ulubionych” to nie błąd, a tak zaprojektowany sposób funkcjonowania algorytmów FB

  13. Skoro radzicie “wszystko co przesyłasz przez internet traktuj jako publicznie dostępne, na zawsze i dla każdego”, to jaki sens ma umieszczona kilka zdań później propozycja “abyś popatrzył teraz w historię swoich facebookowych czatów (…) Może warto już teraz skasować historię rozmów, do których nie potrzebujesz wracać”?

  14. Nadchodzi fala komentarzy “Wniosek: nie mieć facebooka”

    To tak jak “Wywaliłem się na rowerze bo zawiódł hamulec, wniosek: nie mieć hamulców”

    Posiadanie konta na Facebooku ma swoje plusy i minusy, przy czym głównie plusy bo kontakt z ludźmi ma znaczenie większe niż wyciek adresu email, 99% wiadomości które przez to dostanę trafią do spamu i nigdy ich nie zobaczę na oczy.

    Wchodzimy w erę gdzie niemal musimy być użytkownikami internetu; Użytkownikami, którzy będą profilowani przez takie firmy jak Google czy Facebook czy tego chcą czy nie bo każdy kto skorzystał z usługi automatycznie wyraził na to zgodę.

    Nie mówię, że należy zapisywać dane kart kredytowych, PESEL, czy tego poziomu wrażliwe dane, ale imię, nazwisko, czy adres email nie są danymi które są w stanie zaszkodzić Tobie w życiu.

    Budując własną ścianę prywatności w internecie “dla zasady” wprowadzi mało rozwiązań a dużo problemów. Do tej pory więcej wydałem niż zyskałem na narzędziach do prywatności (bez rzucania marek – VPN, oraz Antywirus, Antyransomware, Firewall, etc. etc.).

    Do póki nie zacznę handlować bronią czy handlować narkotykami (ew. przetrzymywać kota prezydenta), to budowanie ściany prywatności przysporzy kosztów i siwych włosów.

    • Bzdura. Jak nie jesteś piwniczakiem z wiedzą pantofelka to sobie poradzisz.

    • Kot byłego premiera jest więcej wart w tym kraju 8)

    • A nie mógłby po prostu każdy sam decydować, czy chce mieć konto? Musimy mieć tu masowo ekspertów socjologów, którzy mówią co się powinno, a co nie?

    • Można być użytkownikiem Internetu bez konta na Facebooku ;)

    • @Bartłomiej – to jakieś kopiuj&wklej, ten Twój bełkot marketingowy?
      Znajomych mam pod telefonem (a więc rozmowa, SMS) oraz pod e-mail. Kontakt jest, nie trzeba oglądać reklam, ani wklejanych z nudów głupot. Część osób ma też własne strony internetowe, więc jest co poczytać, gdzie podyskutować. Naprawdę sporo ludzi nie potrzebuje ani FB, ani innych tego typu rzeczy (z profilowaniem i oglądaniem reklam włącznie).

    • A jak dorośniesz to być może odkryjesz, że brak kontaktu z wieloma osobami, jakie w życiu spotkałeś, ma wartość jeszcze większą.

      Tak, mam jakieśtam konta na FB. Jako mieszkaniec Indonezji czy innego Bangladeszu. Konta, na którym musiałbym mieć prawdziwe dane, jeszcze nie potrzebowałem.

      Moje prawdziwe dane są do pozyskania relatywnie łatwo z innych miejsc. Co nie znaczy, że muszę je wpychać do gardła “agregatorowi”.

      I tu wcale nie chodzi o to, żeby jakieś korpo tych danych nie miało, tylko żeby byle kto z ulicy nie miał np. mojej daty urodzenia – choćby pozyskanej z “wszystkiego najlepszego!”. Wszyscy wiemy, jak używane są PESEL-e, daty urodzenia, imiona panieńskie matek itp. – takich danych nie należy publicznie rozgłaszać do wglądu każdego z ulicy. Na codzień używam innej daty urodzenia itp., ale do niektórych systemów te dane są weryfikowane.

  15. @PK

    Dziekuje. Kamien spadl z serca, zes jednak Pan logiczny. Polecam ten wywiad, swietnie oddaje to, jak mozna wierzyc korporacjom:

    http://www.forbes.com/sites/parmyolson/2018/09/26/exclusive-whatsapp-cofounder-brian-acton-gives-the-inside-story-on-deletefacebook-and-why-he-left-850-million-behind/

  16. Mnie NIE wylogowało.

  17. Super wylogowalo mnie

  18. Teraz już wiem, jak ktoś około 2 miesiące temu zalogował się na moje konto… Szczęśliwie Facebook zablokował logowanie.

    • Jeśli ktoś się zalogował na twoje konto, to musiał znać hasło (lub mieć dostęp do maila – w niektórych przypadkach nie trzeba nawet resetować hasła do FB).
      a ten sposób z kradzieżą tokenów działa inaczej: kradzione jest “zalogowanie” – takie gotowe zalogowanie, że Facebook od razu widzi jakby ktoś był zalogowany, bez tego procesu logowania i jakiejkolwiek weryfikacji

  19. Taki Token daje dostep nie tylko do FB, ale i do wszystkich stron, gdzie została użyta opcja: loguj przez Facebook ;)

    • To ktoś normalny używa tej opcji?

  20. Mnie wylogowali wczoraj i dzisiaj ponownie.. Czy to będzie zasada, że token sesyjny będzie miał krótki czas życia?

    • Mnie wczoraj wylogowali 2 razy z apki FB na telefonie, 4 razy z messengera i 2 razy z przeglądarki na komputerze (pomijając urządzenia których akurat nie używam, np. stary telefon)

  21. Jak to dobre że wykasowałem swoje konto na fecbooku

  22. Mnie również wylogowało, ale liczę na to że nikt mi się nie włamał (poza mną), ponieważ 24 września robiłem bota – który logował się właśnie tym access tokenem, ściągniętym z kodu źródłowego strony (facebook.com/me)

  23. A pytanie: jak to wygląda jeśli chodzi o kwestie powiadomienia mailowego o zalogowanej sesji w przeglądarce? Zawsze logując się z przeglądarki (FB w przeglądarce na komputerze używam bardzo rzadko) przychodzi mi powiadomienie mailowe – alert o nowym zalogowaniu z danego urządzenia. W tym przypadku jak ktoś padł ofiarą to kwestia powiadomienia mailowego też jest pominięta czy jak to dokładnie wygląda?

    • To przebiegało wydaje się jako to samo logowanie i nie dostałbyś maila.

  24. “Ten incydent to bolesne, ale potrzebne przypomnienie, że” … istnieje świat poza FB.

  25. ciekawe – co jakis czas uzywam opcji “zobacz jako” – tak na wszelki wypadek, a nie wylogowalo mnie

    • Nie chodzi o to, że Ty używałeś ale ze ktoś jej używał jako “ty”. View my profile as devastator – dopiero to dolaczyloby cię do 40M.

  26. Wylogowało mnie z FB i Messengera. Ciekawi mnie co innego, dla innych użytkowników było to coś nietypowego, wylogowanie “na siłę”, natomiast mnie wylogowuje co tydzień, dwa … i trwa to już od kilku miesięcy. Myślałem że to normalna procedura aplikacji FB/Messenger.

  27. DRUGA SPRAWA: dzisiaj nastąpiła aktualizacja Messengera, ale taka że mimo iż nie używam auto to nie mogłem jej NIE PRZYJĄĆ. Po prostu została mi ikona Messengera na pulpicie i po naciśnięciu jej komunikat “Ta aplikacja nie została zainstalowana”. Ta aktualizacja była dziwna, miała wyższe prawa niż powinna (współpraca FB z Google) Podejrzewam że Messenger FB miał poważny błąd, przypadkowo wczoraj spotkało mnie coś nietypowego. Uważam że tokeny użytkowników były wykorzystywane w jeszcze jednym miejscu, przy obsłudze “sprawdzania numeru telefonu użytkownika FB”. Pewna część Messengera gdy dostaniecie SMS i nr. tego telefonu nie znajduje się w waszym spisie numerów… sprawdza w dalszej kolejności w BAZIE UŻYTKOWNIKÓW FACEBOOKA i wyświetla Wam ten numer z Imieniem, Nazwiskiem i nawet zdjęciem.

  28. Wczoraj zauważyłem że Messenger sprawdza nr. telefonu nie tylko wśród listy Waszych znajomych na Facebooku, ale w CAŁEJ BAZIE DANYCH. Następnie sprawdza rekord odnośnie “jawności/prywatności nr. tel.” który możecie sobie ustawić w portalu Facebook.

  29. Nie mam konta na f-booku. Co robić? Jak żyć?

  30. Na prawde wzorowo.
    Dodanie do poszkodowanych losowej liczby nie poszkodowanej pozwala rozmyc problem odpowiedzialnosci karnej (wtedy bez dokumentow ktorych firma nie da od reki nie da sie wyrwac kasy za RODO).
    Ciekawostka jest tez usuniecie logow (znowu – dzialanie zapobiegawcze przeciw sporom sadowych). W sumie jednak – czego oczekiwac… Zuckerberg i wszystko jasne…
    W sumie – nie widze (IMHO) mozliwosci aby koledzy pana Z nie wiedzieli jaka dziure otwierali. No i dla kogo ja otwieraja.
    Byc moze istnieje korelacja z tym jakie dzialania stricte polityczne firma pana Z podejmuje. I oczekiwalbym naglego wysypu logowan na stronach ktore uzywaly ‘loguj przez pejspook’…

    • I tak zbliża się koniec FB, więc może nastał czas na monetyzację 0-Day systemu :)

  31. Mnie za pisanie niepokornych komentarzy antyżydowskich srajsbuk zablokował konto na 30 dni 2 miesiące temu :)
    Proponuje każdemu przeczytanie “Obóz Świętych”.

  32. Co to nie można pisać o narodzie wybranym?
    Tu także?

    • Nie misiu. Tu przychodza ITki pogadac o sprawach IT a nie o tym ktora racja jest najmojsza i czy swiatem rzadza kosmici czy ludzie-kraby.

  33. czy jesli wylogowywuje sie z konta na fb codziennie na koniec dnia, to rozumiem, że nie byłem narażony na atak, bowiem token nie był stały tylko codziennie nowy, dobrze rozumuje?

  34. Świetna rada dotycząca skasowania historii rozmów na FB. Jest tylko mały problem: każda osoba z którą rozmawialiśmy też musi to zrobić (w koncu dialog odbywa się między co najmniej dwoma osobami).

    Każde słowo, wszędzie – przesłane przez Internet traktować należy jako jawne.

  35. wylogowalo mnie z FB i Massengera, ani jeden ani drugi nie wysyła wiadomości do odzyskania konta, ani standardowo ani linku przy odzyskiwaniu konta z pomocą znajomych; Jakieś pomysły?

  36. Elegancki festiwal hipsterstwa w komentarzach. Już można pominąć uwagi o tym, że konto na facebooku nie jest potrzebne (chyba tylko komuś kto nie ma znajomych, nie jest na studiach, nie pracuje, nie wychodzi na zorganizowane eventy, nie należy do jakichkolwiek grup i kontaktuje się w swoim życiu tylko z rodzicami), ale najlepsze są te rady, żeby porzucić fejsa. Równie inteligentna porada co – przestań jeździć samochodami, bo ulegają wypadkom.

    • Do żadnej z tych rzeczy facebook nie jest niezbędny. Liczba kanałów komunikacj jest obecnie tak duża, że pominięcie jednego z nich nie powinno zachwiać naszym życiem prywatnym. Co innego praca, ale moja wymaga tylko maila.

  37. Mi 5 września ktoś wrzucił spamowe zdjęcia. W sesjach nie było nic dziwnego. Od razu wylogowalem wszystkie urządzenia i zmieniłem hasło. zdjęcia od razu zgłosiłem, kilka dni później zostalem wylogowany że wszystkich urządzeń i mialem wymuszona zmianę hasła, w piątek kolejny raz zostałem wylogowany

  38. Koniec Facebooka, upadek Microsoftu i rok Linuksa nie różnią się niczym od postanowień noworocznych. Może kiedyś się ziszczą, ale nikt nie uzależnia od nich swojego sukcesu.

  39. Ale mam ubaw czytając te komentarze użytkowników fejsbruka.
    Myślę że podobnie muszą czuć się Ci którzy dokonali ataku. Nic tylko popcorn i czytamy “wylogowało mnie”, “mnie nie wylogowało” xD

  40. W całej tej informacji najbardziej dziwi mnie to, że tylko osób było cały czas zalogowanych.

    W sumie keepas na smartfonie musi byc kijowy, no i jak podłączyć nitrokey.

  41. Ja tam od dłuższego czasu zauważyłem to że nie mogłem zmienić adresu e-mail. Jestem ciekaw w jakich rękach znajduję się dane tylu użytkowników.

  42. Co do facebooka chodzi mi od kilku dni po głowie pewne pytanie i w sumie do końca nie wiem gdzie je zadać, może ktoś z Was (redaktorów i internautów) mnie oświeci.
    Odkryłam niedawno, że ktoś założył na facebooku „moje” fałszywe konto (moje imię i nazwisko, moje stare zdjęcie z Myspace, miejscowość natomiast inna). Konto świeże, założone dwa tygodnie przed tym, jak je znalazłam, kilkunastu znajomych, sami mężczyźni. Zgłosiłam je od razu jako podszywające się pod moją osobę. Pierwszą część reakcji facebooka rozumiem – dostałam informację, że mam wysłać zdjęcie dowodu/paszportu, udowadniającego, że ja to ja. Domyślam się, że właściciel drugiego konta dostał taką samą informację. Natomiast nie rozumiem dlaczego otrzymałam JA informację, że JA się pod kogoś podszywam i dlatego moje konto zostało wyłączone do czasu aż udowodnię swoją tożsamość. I tak z wyszukiwarki facebooka zniknęłam ja, ale konto fałszywe pozostało i hulało w sieci póki nie udowodniłam swojej tożsamości. I nie potrafię pojąć, dlaczego facebook w reakcji na MOJE zgłoszenie zablokował MOJE konto, nie oszusta (nie powinny zostać oba konta wyłączone? Już pominę kwestię, że dziesięcioletnie konto, aktywne, z dużą ilością znajomych jest najwyraźniej mniej wiarygodne od dwutygodniowego).
    Normalne to?

    • @Shakuahi

      Przypuszczam że twórca tego drugiego konta, dostawszy maila weryfikacyjnego od fb, zgłosił w rewanżu Twoje konto jako fałszywe.

  43. Dlaczego w tytule artykułu raz wyświetla się 50 milionów ,a innym razem 90 milionów ?
    Wczoraj było 50 milionów ,a dziś jest 90 milionów :)

  44. Jest duża szansa, że hasła z FB jednak wyciekły (czyżby nie były hashowane). Mam hasło które używam do FB i gmaila i do niczego więcej, podobnie moja żona.
    Do mojego konta googla, ktos probował się dzis logowac dobrym haslem….

  45. […] koniec września Facebook poinformował o dziurze, która od roku umożliwiała osobom postronnym uzyskanie nieautoryzowanego dostępu do ko…. Hakerzy wykorzystali błąd w kodzie, który umożliwiał kradzież tokenu sesyjnego. Według […]

  46. Dziś mnie wylogowali.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: