Facebook ontdekte aanval na piek in dataverkeer
De aanval op Facebook waarbij aanvallers de toegangstokens van 50 miljoen gebruikers wisten te stelen werd ontdekt na een piek in het dataverkeer van de sociale netwerksite, zo heeft Facebook bekendgemaakt (pdf). Via de gestolen toegangstokens hadden de aanvallers op de Facebookaccounts van getroffen gebruikers kunnen inloggen, maar ook op apps die van de Facebook-login gebruik maken.
In een verklaring stelt Facebook dat het op 16 september een piek in het dataverkeer op de website zag, dat tot de ontdekking van de aanval leidde. De aanval was mogelijk door drie verschillende bugs waar nu ook meer details over zijn gegeven. Facebook biedt de "weergeven als" feature, waarmee gebruikers kunnen zien hoe hun profiel er voor een andere gebruiker uitziet. Bijvoorbeeld Facebookgebruiker "Alice" kan zo zien wat haar Facebookvriend "Bob" ziet bij het bekijken van haar profiel.
De "weergeven als" feature zou een "view-only interface" moeten bieden. Door een fout werd echter de mogelijkheid geboden om een video te uploaden. Vorig jaar juli verscheen er een nieuwe versie van de video-uploader die incorrect een toegangstoken genereerde dat de permissies van de mobiele Facebook-app had. Wanneer de video-uploader onderdeel van de "weergeven als" feature was, genereerde het geen toegangstoken voor de gebruiker in kwestie (Alice), maar voor de Facebookgebruiker waarvan zij wilde weten hoe die haar profiel zou zien (Bob). Alice zou op deze manier op het Facebookprofiel van Bob kunnen inloggen.
Zodra de aanvallers het toegangstoken van Alice hadden gestolen konden ze via "weergeven als" het toegangstoken van Bob bemachtigen en op die manier weer tokens van Bobs vrienden stelen. Uiteindelijk werden via deze methode de toegangstokens van 50 miljoen gebruikers buitgemaakt. Deze 50 miljoen toegangstokens zijn gereset, alsmede de tokens van 40 miljoen andere gebruikers die van een product gebruik hebben gemaakt dat een "weergeven als" feature bood. Verdere details over de aanval heeft Facebook niet gegeven, behalve dat het in het kader van de Europese privacywetgeving AVG de Ierse privacytoezichthouder heeft ingelicht.
Cruz moest 4 x doorvragen en doorvragen bij media getrained gedraai en gekonkel met nietszeggende ontwijkende antwoorden als resultaat. Komen ze er weer mee weg? Vast wel, want het grote publiek had er geen weet van, die werden bezig gehouden met een MSM circus over de vermeende aanteigingen tegen de door links en de globalisten gehate te benoemen rechter Kavanaugh (politieke soap eerste rang) en verder wond men zich op over te hevig trillende borsten in het bloesje van een spelletjesfiguur.
Hoe kun je je bevolking reduceren tot een grote massa onbenullen en media-manipulatie-vee?
Als we dit bovenstaande moeten vaststellen en hier in de EU gaat het niet minder zo, dan krijg ik er steeds vaker een hard hoofd in, dat het aangepakt zal gaan worden en/of er iets ten goede voor de burgers veranderen zal. Nah, het dendert allemaal nog veel sneller de verkeerde kant op "in digital hell-hole". We staan erbij en kijken er naar.
Google heeft de beste security framework van de hele wereld en staat ook bekend om de velen security onderzoeken die zij publiceren en heeft 6 jaar erover gedaan een nieuwe framework te bouwen nadat de NSA hun heeft gehacked.
Je brengt de indruk alsof deze bedrijven te weinig aan cybersecurity doen.
(Ze gaan niet zo netjes met je persoonlijke data om maar dat is hun verdienmodel)
Deze bedrijven staan bloot aan het internet en dagelijks voorkomen deze partijen enorm veel hacks.
Hackers kunnen altijd hacken en geen enkele verdediging is 100% safe!
Google heeft de beste security framework van de hele wereld en staat ook bekend om de velen security onderzoeken die zij publiceren en heeft 6 jaar erover gedaan een nieuwe framework te bouwen nadat de NSA hun heeft gehacked.
Je brengt de indruk alsof deze bedrijven te weinig aan cybersecurity doen.
(Ze gaan niet zo netjes met je persoonlijke data om maar dat is hun verdienmodel)
Deze bedrijven staan bloot aan het internet en dagelijks voorkomen deze partijen enorm veel hacks.
Hackers kunnen altijd hacken en geen enkele verdediging is 100% safe!
Google staat vooral bekend om hun wangedrag bij het afhandelen van abuse incidenten (als in: dat doen ze niet) onder security professionals. Dat er een paar Google werknemers naar lekken zoekt in software van anderen doet daar niets aan af. Googles eigen software is niet beter dan dat van anderen.
Google verzamelt gegevens die het niet zou moeten verzamelen, dat is in de eerste plaats de reden voor het ongevraagde risico op privacyinbreuk. Volgens de AVG mag je geen privacygevoelige gegevens (zoals surfgedrag) verzamelen als er geen grondslag voor is en die grondslag is er gewoonweg niet. Er is geen sprake van vrije toestemming, en een noodzaak voor het verzamelen van het gros van die gegevens is er niet.
Dat geldt overigens ook voor Facebook, Microsoft en nog een reeks aan partijen die hetzelfde doen.
dictator, crimineel goet praten want ze hebben toch het recht op macht of geld als ze dat nastreven.
dictator, crimineel goet praten want ze hebben toch het recht op macht of geld als ze dat nastreven.
onthou het nou, gratis bestaat niet! Je betaald met je privacy....
dictator, crimineel goet praten want ze hebben toch het recht op macht of geld als ze dat nastreven.
Je moet mensen geen woorden in de mond leggen. Dat zegt hij namelijk nergens. Het zijn twee aparte problemen; data breaches, en de wijze waarop bedrijven hoe dan ook met onze gegevens om gaan. Dat het twee aparte problemen zijn, doet niets af aan dat beide zaken problematisch zijn.
dictator, crimineel goet praten want ze hebben toch het recht op macht of geld als ze dat nastreven.
Je moet mensen geen woorden in de mond leggen. Dat zegt hij namelijk nergens. Het zijn twee aparte problemen; data breaches, en de wijze waarop bedrijven hoe dan ook met onze gegevens om gaan. Dat het twee aparte problemen zijn, doet niets af aan dat beide zaken problematisch zijn.
Dankjewel ik zeg dat nergens inderdaad
dictator, crimineel goet praten want ze hebben toch het recht op macht of geld als ze dat nastreven.
Je moet mensen geen woorden in de mond leggen. Dat zegt hij namelijk nergens. Het zijn twee aparte problemen; data breaches, en de wijze waarop bedrijven hoe dan ook met onze gegevens om gaan. Dat het twee aparte problemen zijn, doet niets af aan dat beide zaken problematisch zijn.
Google heeft de beste security framework van de hele wereld en staat ook bekend om de velen security onderzoeken die zij publiceren en heeft 6 jaar erover gedaan een nieuwe framework te bouwen nadat de NSA hun heeft gehacked.
Je brengt de indruk alsof deze bedrijven te weinig aan cybersecurity doen.
(Ze gaan niet zo netjes met je persoonlijke data om maar dat is hun verdienmodel)
Deze bedrijven staan bloot aan het internet en dagelijks voorkomen deze partijen enorm veel hacks.
Hackers kunnen altijd hacken en geen enkele verdediging is 100% safe!
Ik ben het trouwens met je eens dat er van elkaar los staande problemen zijn.
Google heeft de beste security framework van de hele wereld en staat ook bekend om de velen security onderzoeken die zij publiceren en heeft 6 jaar erover gedaan een nieuwe framework te bouwen nadat de NSA hun heeft gehacked.
!
Naief ben je. Er is maar een reden waarom google nog niet is opgesplitst en nooit zal worden, omdat het een amerikaanse informatie bron is.
dictator, crimineel goet praten want ze hebben toch het recht op macht of geld als ze dat nastreven.
onthou het nou, gratis bestaat niet! Je betaald met je privacy....
Ik heb een vet betaalde Android telefoon en toch gaat alles naar Google.*
Ik heb een vet betaalde Nest thermostaat en toch gaat alles naar Google.*
Ik heb een vet betaalde Smart TV met ingebouwde Android en toch gaat alles naar .....*
etc. etc.
Dus denk even na voordat je het over gratis hebt.
* Fictive voorbeelden, ik wil namelijk niks met Google te maken hebben.
FaceBook wil 2FA authenticatie, wat nu wel weer gepromoot zal gaan worden,
gebruiken voor reclame op maat.
FaceBook wil 2FA authenticatie, wat nu wel weer gepromoot zal gaan worden,
gebruiken voor reclame op maat.
Inderdaad, 2fa met de telefoon heeft gefaald, dus nu perfecte reden voor facebook net als apple biometrie toetevoegen!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
