Penktadienį buvo paskelbta, kad įsilaužėliui – ar įsilaužėliams – pavyko gauti priėjimą prie 50 000 000 “Facebook” vartotojų paskyrų, tai jam ar jiems pavyko padaryti per programinę spragą. Bet kaip pranešė pats socialinis tinklas, įsilaužėliai gavo prieigą ir prie trečiųjų šalių paslaugų – t.y. ne tik prie pačiam „Facebook“ ir taip jau jau priklausančio „Instagram“, bet ir, pavyzdžiui, AirBnB.
Visa tai drastiškai praplečia protencialią įsilaužimo grėsmę – priėjimas buvo įmanomas prie daug daugiau privačių duomenų, rašo „Business Insider“.
Kaip visa tai nutiko? Trumpai tariant, įsilaužėliai apgavo „Facebook“ prisijungimo sistemą, kad ši perduotų jiems „prisijungimo žetonus“ (angl. access tokens) – tam tikrus skaitmeninius raktus, kurie leidžia prisijungti prie vartotojų paskyrų, tarsi tai darytų patys vartotojai.
Ir ne, tai nėra susiję su slaptažodžiais. Galbūt pastebėjote, kad pasikeitus slaptažodį „Facebook“ paskyroje naršyklėje, sistema atsiklausia, ar reikalauti prisijungimo iš naujo ir programėlėje telefone (ar kitam kompiuteryje) – ir egzistuoja pasirinkimo galimybė „ne“ – jūs ir telefone ar kitame kompiuteryje be naujojo slaptažodžio įvedimo galite toliau prisijungti prie „Facebook“ paskyros, nors slaptažodis jau ir naujas. Šis efektas ir pasiekiamas pasitelkiant „prisijungimo žetonų“ technologiją.
Šie žetonai teoriškai suteikia galimybę prisijungti ir prie visų kitų paslaugų, prie kurių vartotojas jungiasi naudodamasis savo „Facebook“paskyra – ar tai būtų nišinis telefononis žaidimėlis, ar „Tinder“, ar dar kas nors, kur yra jūsų asmeninių duomenų.
Iki šiol neaišku, kas įvykdė įsilaužimą, ar tai buvo tikslinė ataka, ar kokia buvo jos prasmė. „Facebook“ šiuo metu užlopė skylę ir atnaujino sukompromituotus žetonus, priversdami paveiktus vartotojus iš naujo prisijungti (nors slaptažodžiai ir nebuvo pavogti, teigia „Facebook“)
Likimo ironija? Nuo įsilaužimo nukentėjo ir paties „Facebook“ įkūrėjo – Marko Zuckerbergo – paskyra. O taip pat ir „Facebook“ vyriausios vykdančiosios direktorės Sheryl Sandberg paskyra.