Viime aikoina on tullut lisää tietoa Facebook-hakkerointimuodossa, jonka otsikko on hyödytön turvallisuusilmoitus ”Tärkeä päivitys Facebookin viimeaikaisesta tietoturvahäiriöstä.” Siinä Facebook myönsi, että hakkerit olivat päässeet yli 30 miljoonalle tilille. Mutta se on okei, koska lainaan, he ovat ”erittäin pahoillani, että näin kävi.” Ei kovia tunteita, eikö?
Ei aavistustakaan mistä puhun? Hienoa, tässä on nopea yhteenveto.
Facebookin tuotehallinnan johtaja Guy Rosen julkaisi 28. syyskuuta a tietoturvapäivitys, ilmoitti meille, että kolme päivää aiemmin insinööritiimi löysi tietoturvavirheen, jonka ansiosta hakkerit pääsivät arviolta 50 miljoonaan Facebook-tiliin niiden käyttötunnisteiden kautta – mikä pitää sinut kirjautuneena tilillesi. Facebook vastasi kirjaamalla yli 40 miljoonaa käyttäjää pois heidän tileistään varotoimenpiteenä.
Kaksi viikkoa myöhemmin Rosen julkaisi viestin uudelleen ja osoitti lopullisesti, ettei hän ole niin hyvä nimittämään turvallisuusilmoituksia. Sisään ”Päivitys tietoturvaongelmasta”, Rosen totesi, että oikea määrä tilejä, joita asia koskee, oli itse asiassa lähempänä 30 miljoonaa. Edelleen valtava määrä, mutta ei aivan niin huono kuin ennustettiin.
LUE SEURAAVA: Facebook menettää 83 miljardia puntaa Cambridge Analytican seurauksena
Mitä tapahtui?
Ilmeisesti suunnittelutiimi huomasi ”epätavallisen aktiivisuuspiikin” 12. syyskuuta, mutta se oli ilmeistä, että tämä oli hakkerointi vasta kaksi viikkoa myöhemmin. He havaitsivat, että hyökkääjillä oli omia Facebook-profiileja, jotka oli yhdistetty muihin tileihin ”Facebook-kavereina”.
Jostain syystä, jota en voi täysin kiertää, Pedro Canahuati, tekniikan, turvallisuuden ja yksityisyyden johtaja, meni äärimmäisen yksityiskohtaisesti kuvaillessaan tietoturvavirhettä, joka mahdollisti hakkeroinnin. Koko raportti on tässä, noin puolivälissä sivua. Pohjimmiltaan haavoittuvuus ilmeni viime vuoden päivityksen yhteydessä Facebookin ”View as” -toimintoon, jonka avulla voit tarkastella omaa profiiliasi toisen käyttäjän näkökulmasta. Kohtalon oudossa käänteessä ”view as” oli alun perin suunniteltu turvatoimenpiteeksi.
”Kun käytit Näytä nimellä -ominaisuutta nähdäksesi profiilisi ystävänä, koodi ei poistanut säveltäjää, jonka avulla ihmiset toivottavat sinulle hyvää syntymäpäivää. videon lataaja luo käyttöoikeustunnuksen, vaikka sillä ei olisi pitänyt olla; ja kun käyttöoikeustunnus luotiin, se ei ollut sinulle, vaan henkilölle, jota etsitään”, oli Canahuatin virallinen lausunto. ”Tuo käyttöoikeustunnus oli sitten saatavilla sivun HTML-koodissa, jonka hyökkääjät pystyivät poimimaan ja kirjautumaan sisään toisena käyttäjänä. Hyökkääjät pystyivät sitten siirtymään kyseisestä käyttötunnuksesta muille tileille suorittaen samat toiminnot ja hankkien lisää käyttöoikeuksia.”
Facebook on ilmeisesti korjannut nämä virheet. Henkilökohtaisesti toivon, että se teki hyvää työtä, koska se antoi kirjaimellisesti vain vaiheittaisen selityksen jonkun profiiliin murtautumisesta.
Selvä, mutta mitä hakkerit löysivät?
Loistava kysymys. Kiinnitä solki.
15 miljoonalta köyhältä sielulta varastettiin kahden tekijän tunnistustiedot. Tämä on voinut olla puhelinnumero, sähköpostiosoite tai molemmat, riippuen siitä, mitä tietoja käyttäjä oli antanut Facebookille. (Tämä ei ole ensimmäinen kerta kaksitekijäinen tunnistaminen on muuten aiheuttanut tietosuojaongelmia.)
Huolestunut? Ymmärrettävää, mutta älä vielä avaa, se pahenee.
Loput 14 miljoonaa tiliä osuivat kovaa. Guy Rosen yritti päästä tämän osan läpi nopeasti, mutta edes luettelon läpikäyminen ei voinut piilottaa sitä, että hakkerit näkivät ”käyttäjänimensä, sukupuolensa, maan/kielen, parisuhteen asemansa, uskontonsa, kotikaupunkinsa, itsensä ilmoittaman nykyisen kaupunkinsa, syntymäpäivänsä , laitetyypit, joita käytettiin Facebookiin, koulutukseen, työhön, 10 viimeisintä paikkaa, joihin he ovat kirjautuneet tai joihin he on merkitty, verkkosivustot, ihmiset tai sivut, joita he seuraavat, ja 15 viimeisintä hakua.”
Rosen seuraa tätä pommi-iskua selventämällä, että miljoonalla tilillä ei varastettu mitään tietoja. Huh huh. Hetken siellä aloin olla huolissani.
LUE SEURAAVA: Miksi Facebook poisti yli 800 poliittista tiliä
vaikuttuiko minuun?
Jos sinun on kysyttävä, vastaus on todennäköisesti ”ei”. Kaikki, joita asia koskee, kirjautuivat ulos tilistään ja saivat turvailmoituksen kirjautuessaan takaisin sisään. Mutta samalla se, että sait ilmoituksen, ei tarkoita, että sinut hakkeroitiin. Muistaa? Vain 30 miljoonaa ihmistä vaikutti, mutta he kirjasivat ulos 90 miljoonalta tililtä. Voit tarkistaa tässä nähdäksesi, onko tilisi vaarantunut hakkeroinnin seurauksena – vieritä alas otsikoituun osioon ”Vaikuttaako tämä tietoturvaongelma Facebook-tiliäni?”
Tekeekö Facebook jotain, jotta tämä ei toistu?
No, Facebook varmasti väittää niin. Sen lisäksi, että Facebook kirjasi joukon ihmisiä ulos heidän tileistään, se poisti tilapäisesti myös ”view as” -toiminnon, jossa tietoturvahaavoittuvuus oli, jos muistat. Muuten yhtiö on vain ilmoittanut jatkavansa asian tutkimista yhdessä FBI:n, Yhdysvaltain liittovaltion kauppakomission, Irlannin tietosuojakomission ja muutaman muun nimettömän viranomaisen kanssa.
Toistaiseksi mikään ei viittaa siihen, että Facebookilla olisi aavistustakaan, kuka tämän hakkeroinnin takana on, mutta pidämme sinut ajan tasalla, jos jotain uutta tapahtuu.