Взлом Facebook обнажил проблему всего интернета

7645
1

В конце прошлой недели стало известно, что из-за уязвимости могло пострадать около 50 млн аккаунтов в Facebook, а безопасность еще 40 млн - под вопросом. На этой неделе журналисты Wired сообщили, что последствия у взлома могут быть куда хуже, чем доступ к данным аккаунтов. Чем грозит одна из крупнейших утечек данных в этом году?  

Facebook много ругали за масштабную уязвимость, позволившую хакерам не только подобраться как минимум к 50 млн аккаунтов, но также получить доступ к данным сайтов сторонних компаний, чьи пользователи были авторизованы с помощью Facebook. Ситуацию только ухудшает то, что исправить ее — не по силам одному лишь Facebook. 

Некоторые из популярнейших сайтов в сети все еще не внедрили базовые правила безопасности, которые бы ограничили эффект от взлома Facebook, согласно последнему исследованию Университета Иллинойса в Чикаго. Если бы они с большей осторожностью отнеслись к функции Facebook Single Sign-On, которая позволяет логиниться с одного аккаунта на разные сайты, вместо того, чтобы для каждого придумывать пароль — влияние взлома скорей всего ограничилось бы самим Facebook. 

Вместо этого, хакеры, возможно, получили доступ ко всему — от частной переписки на Tinder до паспортных данных на Expedia, и все это — не оставив ни следа. Даже хуже: пользователь мог попасть в группу риска, ни разу в жизни не используя Facebook для логина на сторонних сайтах. 

Ключ от всех дверей

В статье, опубликованной в августе ученый в области вычислительной техники Джейсон Полакис с коллегами анализировали многочисленные способы, с помощью которых хакеры могли бы пользоваться функцией Single Sign-On. Facebook в этом не одинок. У Google есть подобная опция, как и у многих других сервисов. Но функция авторизации через Facebook — самая распространенная. 

Этому есть серьезные причины. Во-первых, это просто и экономит пользователю время на создание еще одного пароля. И, по крайней мере, в теории, это безопаснее.

«Создание безопасной инфраструктуры, управление пользовательскими данными, зашифрованные соединения — это все довольно тяжело. Так что вместо того, чтобы полагаться на сотни сайтов помельче, вы доверяете одному, у которого лучше механизмы безопасности», — объясняет ученый. 

Конечно, эти удобства несли свои риски. Если кто-то взломает Single Sign-On — неважно, у Facebook, Google или иного сервиса — потенциальное влияние будет очень велико. Исследователи постарались выяснить полный масштаб потенциальной опастности выкраденного аккаунта. Какие данные получит хакер? Узнают ли пользователи о том, что были взломаны? И что смогут предпринять в связи с этим? Тогда эти наблюдения заставляли понервничать, сейчас — кажутся провидческими. 

В пятницу Facebook объявил, что хакеры смогли пробраться к токенам доступа 50 млн пользователей (а это эквивалент цифровых ключей к Facebook-аккаунту). С этими токенами хакеры могут получить полный контроль над аккаунтами, а благодаря функции Single Sign-On — еще и к другим сайтам, куда эти 50 млн пользователей логинились через Facebook.

Случилось все по сценарию чуть ли не идентичному описанному Полакисом и его коллегами. В том случае исследователям удалось воспользоваться кукиз на пользовательском устройстве, а также уязвимостью (сейчас уже исправленной) в iOS-приложении сети. Но, пишет Полакис, как только хакер получил контроль над чьим-то аккаунтом, доступ к сайтам сторонних разработчиков — дело времени. 

После того, как Facebook раскрыл уязвимость, он переустановил токены для всех 50 млн пользователей, и еще для 40 млн, которые были в группе риска. «Мы все еще проводим расследование, чтобы узнать, получили ли атакующие доступ к приложениям третьих сторон», — заявила представитель сети Кэти Дормер в комментарии Wired. 

Ограниченная защита

Есть способы, которыми «третьи стороны» должны защищать своих пользователей в случае, если функцию Single Sign-On используют для взлома. Но проблема в том, что мало кто из них реально этим занимается. 

Например, сайты, которые используют Single Sign-On, могут либо автоматически залогинивать пользователя, если он уже залогинен в Facebook в другой вкладке браузера, либо требовать Facebook-пароль каждый раз, когда пользователь хочет авторизоваться. Второй сценарий — более безопасный, поскольку хакерам понадобится больше данных, чем токены доступа. Им понадобятся пароли. 

Но во время ручной проверки 95 самых популярных веб- и мобильных сайтов, которые пользуются Facebook-авторизацией, от Uber и Airbnb до The New York Times and The Washington Post, исследователи обнаружили, что только два сайта требуют каждый раз вводить пароль. 

Полакис описывает это как классический сценарий, когда компании выбирают юзабилити в ущерб безопасности.

«Если бы все сайты выбрали безопасность, хакеры не смогли бы добраться до сервисов сторонних разработчиков», — пишет он. 

Сторонние разработчики также могли бы дать пользователям возможность просматривать активность в своих аккаунтах. Facebook, к примеру, советовал пользователям проверить активные сессии, чтобы заметить несанкционированный доступ, если он был. Но не все сайты дают такую возможность, как и возможность почистить сессии. Фактически, из 95 исследованных сайтов, только 10 предлагают такое. Из-за этого хакеров не только сложно поймать, но и отрезать им доступ к данным. 

Исследователи также проанализировали подмножество сайтов, чтобы выяснить, что случается на этих сайтах, когда пользователь меняет почту или пароль. Оказалось, что из 29 сайтов 15 позволяют менять почту в аккаунте, не запрашивая пароль, из них 6 позволяют переустановить пароль без ввода старого пароля. Остальные требуют формальную процедуру смены пароля. Но если хакер уже поменял почту, он сможет пройти всю процедуру с использованием нового адреса. 

Представители сети говорят, что компания дает советы сторонним разработчикам о том, как решить этот вопрос и готовит дополнительные рекомендации для них.

Наверное, самое удивительное открытие в этом исследовании — то, что человеку даже необязательно быть залогиненным в приложение стороннего разработчика через Facebook, чтобы пострадать от взлома. К примеру, вы авторизовались на сайте с помощью такой же почты, которая привязана к вашему Facebook-аккаунту. Если хакер постарается залогиниться на этот же веб-сайт с помощью Single Sign-On, некоторые сайты (в том числе, фитнес-приложение Strava) свяжут эти два аккаунта. 

«Если у вас Facebook-аккаунт и вы никогда не использовали его, чтобы логиниться на другом сайте… хакер может все равно использовать токен Facebook и получить доступ к вашему аккаунту на сайтах сторонних разработчиков», — пишет Полакис. 

Избыток данных 

Какие данные оказались под угрозой? В контролируемых экспериментах исследователи смогли проследить поездки «жертвы» в реальном времени в Uber. В одном из случаев они даже оставили водителю чаевые с атакующего устройства уже после того, как поездка была завершена. На Tinder им удалось прочесть личную переписку, при том, что в самом взломанном аккаунте сообщения все еще отмечались как непрочитанные. На Expedia им удалось добыть паспортную информацию. А это все же небольшой контролируемый эксперимент на малом числе аккаунтов. Атака, о которой сообщил Facebook, затронула миллионы пользователей. 

Wired связался с некоторыми сервисами, включая Strava, Tinder, Expedia и Airbnb. В Uber заявили, что отозвали токены для Facebook-аккаунтов, которые могли подвергнуться риску. По словам представительницы компании Мелани Инсайн, это означает всех, кто логинился в Uber с нового девайса. 

Сейчас в Facebook проверяют, достаточно ли переустановки токенов для того, чтобы закрыть доступ к приложениям сторонних разработчиков (судя по исследованию Полакиса — нет). Масштаб угрозы и вреда все еще не оценен. Facebook еще не публиковал рекомендации для разработчиков сторонних сервисов, использующих его авторизацию, но Полакис предлагает: Single Sign-Off (т.е. вылогиниться из всех активных сессий, мы писали об этом в более ранней новости — ред.).  

Facebook определенно заслуживает порицания. Он проник в каждый уголок интернета еще десятилетие назад, иногда — не понимая вполне последствий своей вездесущности. Также ясно, что в интересах более комфортного использования приложениями веб-гиганты часто жертвуют безопасностью пользователей. А сейчас наступило время расплаты за это. 

Оставить комментарий

Комментарии | 1

Поиск