✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

פירצת אבטחה בפייסבוק - מה בדיוק קרה?
אלון להב
|
קלה
|
September 30, 2018
מעוניין להירשם
לניוזלטר שלנו

לפייסבוק לא הייתה מחלקת אבטחת מידע פעילה מחודש מארס 2018, מה שאומר שכאשר פייסבוק ביצעה עידכונים, תוספות או ערכה את הקוד שלה לא היה אינפוט של אבטחת מידע או כל ניתוח ובדיקה של השפעת שינוי במקטע קוד אחד על שאר הקוד.

הבעיה הייתה שירשור 3 באגים יחדיו וניצולם:

1. הבאג הראשון גרם למעלה הוידאו להופיע בדף "צפה כ", בפוסטים מסויימים שעודדו אנשים לפרסם ברכות לימי הולדת, בדרך כלל מעלה הוידאו לא אמור להופיע.

2. הבאג השני גרם למעלה הוידאו לייצר טוקן גישה עם הרשאה לבצע LOG-IN לתוך אפליקציית המובייל של פייסבוק.

3. הבאג השלישי הוא שכאשר מעלה הוידאו הופיע כאפשרות בדף "צפה כ", הוא יצר טוקן כניסה חדש, לא לבעל החשבון אלא לאדם שהוא רצה להיות כצופה בחשבון שלו.

לפי פייסבוק נעשה שינוי באופציית העלאת סרטי וידאו לפייסבוק ביולי 2017. לדעתי, עזיבתו של מנהל אבטחת המידע של פייסבוק אלכס סטאמוס ופירוק מחלקת אבטחת המידע של פייסבוק (מחלקה של 120 איש) ופיזורה ולפי הדיווחים נשארו שם רק 3 אנשים במרץ - זו הסיבה הראשית, כנראה לא הייה אינפוט של אבטחת המידע לשינוי.

הדיווח על עזיבתו של מנהל האבט"מ בפייסבוק ופיזור המחלקה שלו מלפני כמה חודשים

עידכון אבטמ של פייסבוק:

[UPDATE]

"This attack exploited the complex interaction of multiple issues in our code. It stemmed from a change we made to our video uploading feature in July 2017, which impacted <<View As.>> The attackers not only needed to find this vulnerability and use it to get an access token, they then had to pivot from that account to others to steal more tokens."

לפייסבוק לא הייתה מחלקת אבטחת מידע פעילה מחודש מארס 2018, מה שאומר שכאשר פייסבוק ביצעה עידכונים, תוספות או ערכה את הקוד שלה לא היה אינפוט של אבטחת מידע או כל ניתוח ובדיקה של השפעת שינוי במקטע קוד אחד על שאר הקוד.

הבעיה הייתה שירשור 3 באגים יחדיו וניצולם:

1. הבאג הראשון גרם למעלה הוידאו להופיע בדף "צפה כ", בפוסטים מסויימים שעודדו אנשים לפרסם ברכות לימי הולדת, בדרך כלל מעלה הוידאו לא אמור להופיע.

2. הבאג השני גרם למעלה הוידאו לייצר טוקן גישה עם הרשאה לבצע LOG-IN לתוך אפליקציית המובייל של פייסבוק.

3. הבאג השלישי הוא שכאשר מעלה הוידאו הופיע כאפשרות בדף "צפה כ", הוא יצר טוקן כניסה חדש, לא לבעל החשבון אלא לאדם שהוא רצה להיות כצופה בחשבון שלו.

לפי פייסבוק נעשה שינוי באופציית העלאת סרטי וידאו לפייסבוק ביולי 2017. לדעתי, עזיבתו של מנהל אבטחת המידע של פייסבוק אלכס סטאמוס ופירוק מחלקת אבטחת המידע של פייסבוק (מחלקה של 120 איש) ופיזורה ולפי הדיווחים נשארו שם רק 3 אנשים במרץ - זו הסיבה הראשית, כנראה לא הייה אינפוט של אבטחת המידע לשינוי.

הדיווח על עזיבתו של מנהל האבט"מ בפייסבוק ופיזור המחלקה שלו מלפני כמה חודשים

עידכון אבטמ של פייסבוק:

[UPDATE]

"This attack exploited the complex interaction of multiple issues in our code. It stemmed from a change we made to our video uploading feature in July 2017, which impacted <<View As.>> The attackers not only needed to find this vulnerability and use it to get an access token, they then had to pivot from that account to others to steal more tokens."

אלון להב
http://www.israelclouds.com/blog/facebook-security
http://www.israelclouds.com/blog/facebook-security

בלוגים אחרונים

No items found.

בואו נעבוד ביחד
צרו קשר