Facebook вече понесоха предостатъчно обвинения за историческия по мащабите си пробив в сигурността, който е позволил на хакери не само да поемат контрола над профилите на поне 50 милиона потребители, но и да получат достъп до външни уеб сайтове, в които потребителите са влизали с Facebook акаунта си.
Това, което прави нещата много по-лоши, е, че решаването на този проблем в много отношения е извън контрола на Facebook.
Някои от най-популярните сайтове в Интернет нямат основни предпазни мерки, които биха ограничили последиците от хакването на Facebook. Това сочат данните от скорошен доклад на Илинойския университет в Чикаго.
Създателите на тези сайтове не са внимавали особено, когато са вграждали функцията Single Sign-On на Facebook — тази, която ви позволява да използвате своя Facebook акаунт за достъп до други сайтове и услуги, вместо да създавате уникална парола за всеки сайт.
Ако към тази възможност беше подхождано по-внимателно, последиците от хакерски пробив като цяло щяха да бъдат ограничени само до Facebook. Вместо това хакерите потенциално биха могли да имат достъп до всичко - от личните съобщения на хората в Tinder до пътуванията им с Uber – и то без да оставят никаква следа след себе си.
Още по-смущаващото е, че бихте могли да сте изложени на риск, дори и никога да не сте използвали Facebook, за да влизате във външен сайт.
Главен ключ
В публикуван през август доклад компютърният експерт Джейсън Полакис и колегите му са анализирали многото начини, по които хакерите биха могли да злоупотребят с Facebook Single Sign-On.
Facebook не е единственият, който предлага тази функция - Google имат своя собствена версия на същото, както и доста други т.нар. "доставчици на идентичност". Но версията на Facebook според Полакис е най-масово използвана. Замислете се за всички сайтове, които ви примамват с бутон "Влез чрез Facebook".
Има основателни причини външни сайтове и услуги да позволяват на потребителите да влизат в тях с Facebook. Първо, това е лесно и спестява на потребителите грижата да създават и помнят поредната парола. Второ, поне на теория, това прави и влизането в акаунт в Интернет по-сигурно.
Идеята е, че "настройването на защитена инфраструктура, обработката на въвеждани от потребителите данни, криптираните връзки и употребата на съвременни механизми за сигурност са доста трудни задачи", както коментира Полакис. И е много по-удобно вместо да се разчита на хиляди малки уебсайтове да свършат всичко това, да се разчита само на един голям (Facebook), който има "по-добри практики в сферата на сигурността".
Естествено, тези ползи вървят ръка за ръка с очевидни рискове. Ако някой постигне пробив в Single Sign-On — този на Facebook, на Google, или който и да е друг — потенциалните последици са широкообхватни.
Изследователите са се опитали да определят пълните мащаби на потенциалните щети от откраднат акаунт. Какви данни би могъл да извлече атакуващият? Как потребителите биха могли да разберат, че са хакнати? И какво, ако изобщо има нещо, биха могли да направят жертвите на хакване? По онова време констатациите им са доста притеснителни. Днес те вече изглеждат зловещо далновидни.
На 28 септември, петък, Facebook оповести, че хакери са използвали три отделни бъга, за да извлекат т.нар. "токени за достъп" на 50 милиона потребители. Тези "токени" са еквивалентът на цифрови ключове към Facebook акаунтите.
Чрез тях хакерите могат да поемат пълен контрол над акаунтите на потребителите, но заради Single Sign-On те могат да получат достъп и до всеки друг уеб сайт, в който тези 50 милиона потребители влизат чрез Facebook.
Случилото се е много сходно със сценария, проучван от екипа на Полакис. При техния експеримент учените са успели да завладеят "бисквитките" на устройството на даден потребител, използвайки вече закърпен пробив във Facebook приложението за iOS.
След като Facebook са открили истинският пробив, дело на хакерите, те са прегенерирали токените за достъп на всичките 50 милиона засегнати потребители, както и на още 40 милиона, които е възможно също да са били засегнати.
"Все още провеждаме разследване, за да установим дали хакерите са получили достъп до тези външни приложения", коментира говорителят на Facebook Кейти Дормър. Т.е. нищо не е сигурно.
Ограничена защита
Има начини, по които външните компании могат и би трябвало да защитават потребителите си в случай, че защитите на Single Sign-On функцията са пробити. Проблемът е, че много малко от тях го правят.
Например уеб сайтове, които използват Single Sign-On, могат или автоматично да ви дадат достъп, ако вече сте влезли във Facebook на друго място в браузъра, или да изискат от вас да въвеждате Facebook паролата си всеки път, в който влизате.
Вторият вариант е по-сигурен, защото хакерите ще имат нужда от нещо повече от само токена за достъп на потребителя, за да влязат във външните сайтове. В такива случаи ще са им нужни и пароли.
Но при проверка на 95 от най-популярните уеб и мобилни сайтове, които предлагат Facebook Single Sign-On — от Uber и Airbnb до The New York Times и Washington Post — изследователите са установили, че само два са изисквали от хората да въведат Facebook паролите си при всяко влизане.
Според Полакис това е класически пример как компании приоритизират удобството при употреба пред сигурността. Той обяснява, че ако всички сайтове бяха включили тази опция, хакерите не биха могли да получат достъп до външните сайтове, които използват, защото нямаше да притежават паролата ви.
Външните сайтове също така биха могли да позволяват на потребителите да виждат активността на акаунтите си. Facebook например препоръчва потребителите да преглеждат "активните сесии" като начин да откриват неоторизиран достъп до своя профил (можете да ги откриете в "Настройки-Сигурност и влизане"). Не всеки уеб сайт обаче предлага такава "цифрова следа". Нито пък всички те осигуряват начини за изчистване на активните сесии.
Всъщност, от 95-те сайта, които са проучили Полакис и неговите колеги, само 10 са предлагали някакъв начин за "изчистване" на сесиите. Това не само прави хакерите по-трудни за улавяне, но и прави почти невъзможно прекратяването на достъпа им до вашия профил.
Установено е също, че 15 от 29 проверени сайта позволяват да бъде сменен имейла на акаунта в тях без да бъде въвеждана паролата. Т.е. влезе ли в профила ви, хакерът може да смени пощата, а след това да натисне "Забравена парола". Така новата парола ще бъде изпратена на посочения от него адрес и той ще придобие пълен контрол над вашия акаунт.
Стряскащо, нали?
От Facebook коментират, че препоръчват на разработчиците да спазват "най-добрите практики" и в момента се "подготвят допълнителни препоръки", за да се осигури по-добра защита на потребителите.
Най-поразителната констатация в доклада на екипа от Илонойския университет е, че дори не е необходимо човек да е влизал във външни сайтове чрез Facebook, за да е изложени на риск.
Оказва се, че дори никога да не сте използвали Facebook акаунта си, за да влезете в друг сайт, хакерите все пак биха могли да използват Facebook токена и да получат достъп до акаунтите ви на други места.
Да кажем, например, че сте влезли в уеб сайт със същия имейл адрес, който използвате и за вашия Facebook акаунт. Изследователите са открили, че ако атакуващият се опита да влезе в същия уеб сайт чрез Facebook Single Sign-On, някои сайтове ще асоциират двата акаунта.
Претоварване с данни
При своето проучване екипът на Полакис успява да проникне в няколко нарочени Facebook акаунти. Но каква информация успяват да съберат след това?
При експериментите изследователите успели да проследят в реално време пътуванията чрез Uber на една от "жертвите". Нещо повече – при един от случаите дори оставят бакшиш на шофьора чрез устройството на хакера. Оказало се е възможно прочитането на личните съобщения на потребителя в Tinder, както и номера на паспорти и други лични данни чрез приложението Expedia.
Всичко това е постигнато в резултат на експеримент с ограничен брой компрометирани акаунти и външни сайтове. А атаката, разкрита от Facebook, по думите на Полакис е "с безумно по-големи мащаби" и засяга десетки милиони потребители в хиляди сайтове.
Засега Facebook проверява дали направеното от тях прегенериране на токените за достъп е достатъчно за предотвратяване на достъпа на хакери до тези външни сайтове и услуги в бъдеще. Според Полакис не е достатъчно.
Не са известни и мащабите на вече причинените щети за тези 14 месеца, в които уязвимостта, използвана от хакерите, е била налице.
Facebook със сигурност заслужават да бъдат гледани с критично око. Най-голямата социална мрежа си прокара път до всяко кътче на Интернет и вече повече от десетилетие невинаги се замисля за последиците от своята доминираща позиция. Но вината не е само в тях. В опита си да улеснят потребителите и да ги накарат да прекарат повече време в кликване и браузване в техните приложения, много уеб гиганти също са подвели потребителите си.
И сега всички ще платим цената за това.