11:04
16/10/2018

Dwa tygodnie temu informowaliśmy Was o przyczynie, z powodu której Facebook Was wylogował. Był nią atak, w wyniku którego ktoś pozyskał tokeny sesyjne umożliwiających nieautoryzowany dostęp do prywatnych danych 90 milionów użytkowników Facebooka. Serwis właśnie poinformował, że kradzież danych z Facebooka dotyczyła jednak mniejszej liczby osób, ale niestety w szerszym zakresie. Facebook udostępnił też narzędzie pozwalające sprawdzić, czy wasze dane zostały wykradzione.

30 a nie 90 milionów poszkodowanych

Dokładniejsza analiza wykazała, że poszkodowanych w ogłoszonym w zeszłym tygodniu ataku na Facebooka jest o 60 milionów mniej. Ustalono także, że atak miał miejsce między 14 września a 27 września.

Atakujący zaczęli działanie od profili, które sami kontrolowali oraz “znajomych” i “znajomych znajomych” tych profili. W tej grupie miało być 400 000 osób. W ich przypadku, atakujący mieli dostęp do wszystkiego, co te osoby mogły zobaczyć patrząc na swój profil:

  • dane przyjaciół
  • treści postów na ścianie
  • dane grup do których przynależą
  • nazwy ostatnich konwersacji na Messengerze (bez treści, chyba że wiadomość dotyczyła fanpage, jakim zarządza osoba)

Następnie, bazując na grupie 400 000 osób, atakujący uzyskali dane ich przyjaciół i wykradli ich tokeny dostępowe. Ofiar w tej grupie było już ok. 30 milionów. W przypadku 15 milionów profili, atakujący pozyskiwali jedynie:

  • imię i nazwisko
  • numer telefonu
  • adres e-mail

Ale z profili kolejnych 14 milionów osób, atakujący pozyskiwali:

  • imię i nazwisko
  • numer telefonu
  • adres e-mail
  • płeć
  • datę urodzenia
  • 10 ostatnich miejsc w których osoba się “check-in”-owała lub została otagowana
  • 15 ostatnich fraz wpisanych w wyszukiwarkę facebooka
  • język
  • status związku
  • wyznanie
  • miejsce urodzenia
  • miejsce zamieszkania
  • typy urządzeń z jakich korzysta profil
  • wykształcenie
  • zatrudnienie
  • adres strony www
  • listę osób które śledzi
  • listę stron które śledzi

W przypadku jednego miliona ofiar, atakujący nie wykorzystali tokenów do niczego. Facebook zapowiada, że w najbliższych dniach osoby, których dane wykradziono będą widziały takie komunikaty po zalogowaniu się do Facebooka:

…ale już teraz możesz sprawdzić, czy jesteś w grupie ofiar.

Czy hakerzy wykradli Twoje dane z Facebooka?

Facebook udostępnił narzędzie, które informuje, czy nasz profil padł łupem atakujących. Aby to zweryfikować należy wejść na tę stronę internetową będąc zalogowanym na Facebooku i spojrzeć na komunikat na dole strony. Życzymy Wam, abyście widzieli tylko ten komunikat:

Facebook przyznał, że współpracuje w tej sprawie z FBI i został poproszony przez agencję o nieujawnianie informacji na temat tego, kto stoi za atakiem. Serwis nie wyklucza też, że atakujący na mniejszą skalę mogli pozyskiwać inne dane i póki co uszło to oczom analityków.

Najważniejsze pytanie teraz, to kto potrzebuje takich właśnie danych? Firmy, które będą chciały coś sprzedać? Badacze, którzy wspierają tak nieetyczne projekty polityczne jak Cambridge Analytica? A może przestępcy, którzy na podstawie tych informacji będą realizowali kampanie spear-phishingowe?

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. To ja się pochwalę,mnie nie wylogowało,komunikat odpowiedni.

  2. w większości są to rzeczy, które 90% ludzi bezmyślnie i tak udostępnia ‘publicznie’ na FB.
    nie mniej, słabo

    • Brednie opowiadasz . Pokaż mi 30 milionów kont z numerami telefonów + email .

    • @pytam
      30 milionów? To będzie z 2% użytkowników FB. Na prawdę uważasz, że na świecie jest mniej niż 2% debili? Masz chłopie wiarę…

    • Jest tylko taka różnica ,że tu dostaję pełną bazę w miarę sprofilowanej grupy osób . Atak szedł po znajomych .

      Czym niby chcesz wyszukiwać oszołomów ? Będziesz sprawdzał po kolei każdy profil użytkownika skryptem ,albo przekopywał  portale ? Życzę powodzenia w zdobywaniu milionów userów .

  3. a mnie wylogowało – komunikat że z ich informacji atak nie dotyczy ;))) no cóż.

  4. Ja zostałem wylogowany 2 tygodnie temu. Od jakiegoś czasu dostaję tokeny 2FA z różnych portali gdzie miałem takie dane jak na FB i mam komunikat podany jak w artykule, więc chyba jednak coś jest nie tak :)

    • Hm, jakiś czas temu miałem serię logowań na portale z tym samym hasłem i loginem (email) … Którego używałem na Facebook.
      Ciekawostka – nie było to aktualne hasło, bo aktualne jest unikalne dla tej platformy.

      Twój post dał mi do myślenia, bo nie wiem gdzie mnie “trafiono”… (hasło było do drugo i trzeciorzędnych portali)

  5. Nie rozumiem ludzi, którzy na swoim FB podają numer telefonu lub adres zamieszkania, wrzucają zdjęcia ilustrujące ich życie codzienne, z których można wywnioskować gdzie pracują/mieszkają. A zupełnie nie rozumiem tego jak można wszędzie mieć takie samo hasło.

    • Aby mieć konto developera, trzeba podać nr telefonu. To jak już podałem, to wykorzystuję go do 2FA. Jasne, można za piątaka kupić kartę i mieć do tego inny numer, ale mało to wygodne, a z numerem za wiele i tak zrobić nie można (choć bardzo rzadko go gdzieś podaję), więc nie ma co zakładać aluminiowej czapki.

    • Właśnie też się zastanawiałam, jak fb mogłoby pozyskać takie dane. Może przez appkę można by np. dojść, jaki jest numer telefonu, na którym jest zainstalowana? Ale jak mieliby przez szajsa dotrzeć do maila? Musieliby wyjść poza szajsa, żeby mieć ważne dane.

  6. Według tego u mnie mają moje imię i nazwisko, email (który już nie istnieje ^^ ) i numer tel przypisany do konta(którego nie mam wcale przypisanego). Więc tak naprawdę nie wiedzą nic :P

  7. Chlip chlip jestem tak niepopularny ze nikt nie przegladal profilu moimi oczami. Takze moje nasciemniane facebookowe dane sa bezpieczne

  8. Dlatego mam aż 20 znajomych. O 10 za dużo i tak ;-)

  9. Miałem pecha. Mieli dostęp do imienia nazwiska i adresu e-mail oraz nr telefonu którego nie podałem. Więc nic czego normalnie nie można pozyskać nie wykradli.

  10. 30 milionow? A co to jest? Wyciek danych jednego człowieka to tragedia. Wyciek danych milionów ludzi to statystyka.
    Jakoś powszednieje to wszystko.

  11. Mnie nie wylogowalo ale mam inny problem w tym że posty z polubionych stron ani od znajomych z dnia na dzień stało się
    6 zgłoszeń poszło ale nic
    Nie wiem co to może oznaczać

  12. Poraz kolejny problem tego typu dotyka osób, które żyją w fejsbuku, a nie realnym życiu. Z tego co widzę, każdy, kto używa FB “rekreacyjnie”/bardzo akcyjnie lub tylko jako messengera nie ma problemów z wyciekiem danych, czy innymi tego typu rzeczami.

  13. Mnie wylogowało. Nie dziwi to, w kontekście tego, że 5 września br. dostałem 3 sms’y od Facebook’a z kodem potwierdzającym, nic na tym koncie wtedy nie robiąc.

  14. Dla potomnych, komunikat u osób których nie wylogowało:

    “Ze zgromadzonych przez nas informacji wynika, że opisywane naruszenie bezpieczeństwa nie miało wpływu na Twoje konto na Facebooku. Gdy się okaże, że sprawa dotyczy większej liczby kont, zresetujemy powiązane z nimi tokeny dostępu i powiadomimy o tym fakcie ich właścicieli.”

  15. Ciekawe czy klucze bezpieczeństwa 2FA by tutaj pomogły hmm

  16. No dobra, a jak ja mam ten nieszczęsny komunikat i pełne dane wykradzione, to czy mogę coś jeszcze teraz zrobić?

    • Oczywiście, możesz zmienić imię, nazwisko, wyznanie religijne, numer telefonu, email i płeć. Następnie złożyć sobie nowe konto na FB … i już jesteś bezpieczny, do następnego włamania do super-gówna Cukierkowego Cwaniaka.

  17. Mam pytanie odnośnie artykułu. W pierwszym akapicie piszecie:
    “Był nią atak, w wyniku którego ktoś pozyskał tokeny sesyjne umożliwiających nieautoryzowany dostęp do prywatnych danych 90 milionów użytkowników Facebooka.”

    Wcześniej podawaliście informacje, że pozyskanie dostępu do tokenów mogło dotyczyć 50mln kont, a pozostała 40mln zostało wylogowane jedynie prewencyjnie i, jak twierdzi FB, nie ma przesłanek twierdzić, że były dotknięte atakiem.
    Dlaczego dzisiaj, inaczej niż w poprzednim artykule, jako liczbę dotkniętych atakiem kont przedstawiacie 90mln?

    • Czytanie ze zrozumieniem boli? Napisane jest wyraźnie na początku artykułu.

      “`
      Był nią atak, w wyniku którego ktoś pozyskał tokeny sesyjne umożliwiających nieautoryzowany dostęp do prywatnych danych 90 milionów użytkowników Facebooka. Serwis właśnie poinformował, że kradzież danych z Facebooka dotyczyła jednak mniejszej liczby osób, ale niestety w szerszym zakresie.
      “`

    • Zupełnie nie o to chodzi. Pytam dlaczego zmniejszyła się z 90mln, a nie z 50mln. W żadnym momencie wcześniej Niebezpiecznik nie podawał informacji, że dostęp do tokenów dotyczył więcej niż 50mln kont. Pisano wyraźnie, że pozostałe 40mln zostało zresetowanych jedynie prewencyjnie i nie ma żadnych podstaw uważać, że ich tokeny wpadły w ręce atakujących (oświadczenie FB cytowane i w żadnym momencie nie dementowane przez redakcję NIebezpiecznika w poprzednim artykule).
      Dlatego pytam skąd pojawiła się informacja, że ktoś POZYSKAŁ 90mln tokenów.

  18. No ja potrzebuję takich danych np. bo że będę podglądał Magdę i Justynę i Edytę i Zuza p. To jest multi kombajn . Piszę sobie taki programowanik w języku c/c++ w tym programiku składuje wszystkie błędy jakie są czyli heartbleed shelshock i parę innych. Ale się tak pogmatwało to wszystko. Oczywiście że nic mi nie zrobią ani FBI ani CSI ani grom p. Multi kombajn bazuje w zasadzie na tym że to jest dużo węgla (C/C++) i tam podprowadzających dwa kabelki niebieski Facebook i czerwony google (youtube) bo online jest najwięcej użytkowników a to dopiero wierzchołek góry lodowej. Następuje explozive. (Cyber terror). I nic mi nie zrobią jestem nie uchwytny. To jeszcze nic z tym co się wydarzy. Terror to forma sprawowania władzy coś jak demokracja.

  19. U żony niestety komunikat:
    Czy wspomniane naruszenie bezpieczeństwa dotyczy mojego konta na Facebooku?

    Tak. Z naszych ustaleń wynika, że atakujący uzyskali dostęp do następujących informacji o koncie na Facebooku:
    – imię i nazwisko,
    – główny adres e-mail,
    – ostatnio dodany numer telefonu.
    Z dotychczasowych ustaleń wynika, że atakujący nie uzyskali dostępu do następujących informacji:
    – hasła do kont,
    – informacje o kartach płatniczych i kredytowych.

  20. Hasła nie wyciekły, przecież wyraźnie opisano mechanizm, polegał na podkradaniu tokena, właściwie to nie podkradaniu tylko Facebook kretyński po prostu w prezencie dawał tego tokena przeglądającemu “oczami innego użytkownika”. Kiedy wreszcie ktoś wpadnie na to aby przygotować pozew zbiorowy i uwolnić tego piegowatego magika od części zbędnej mu kasy?

  21. Brawo. Znów UFO . Po raz kolejny ktoś komuś coś wykradanie nie ma winnego. Coś ci informatycy nie tacy zdolni jakby wynikało z kasy którą dostają.

  22. nie mam dziadostwa i jestem szczęśliwy
    a i liczba mało wartych znajomych spadła drastycznie i nie tracę czasu na głupków

  23. Hasła wyciekły i już wysyłają maile do właścicieli , że mają zapłacić dana sumę na portfel BTC

  24. Mi pokazuje na tej stronie że nikt mi się nie włamał, ale jakoś niedawno ktoś mi się włamał na konto netflixa na którym miałem ten sam email o hasło… Więc według mnie ta strona od fb coś oszukuje

  25. No i niestety dotyczy to mojego konta.
    Zabrakło “Co robić? Jak żyć?” :)

  26. Ja ostatnio dostaje przez cały czas na facebooku reklamy Patryka Jakiego oraz takie które oczerniają Trzaskowskiego, chociaż na fb nie interesowałam się tymi sprawami, heh…

  27. a jak w ogóle zrezygnowac z konta na FB, wykasowac całkowicie? ktos podpowie?

    • Nie da się skutecznie wykasować raz udostępnionych na facebooku danych .
      Możesz jedynie przestać korzystać usuwając konto z portalu przez nie zdobędą nowych danych.

  28. Co robić, jak żyć?
    https://m.facebook.com/help/www/224562897555674

  29. Problemy ludzi z pierwszego świata…

  30. […] danych uderzają w małe i duże serwisy. Ostatnio zdarzyło się to Facebook’owi, ale zdarza się to także mniej znanym […]

  31. Do mnie napisał “haker” z hasłem z Facebooka, a nie używam go wcale ;) Powiązał to też ze skrzynką, której nie używam wcale. Niezły scam, spam i w ogóle.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.