Beveiligingslek in Facebook maakte overname van accounts mogelijk
Door het combineren van twee verschillende kwetsbaarheden in Facebook was het mogelijk om accounts van gebruikers over te nemen, zo heeft het sociale netwerk via het eigen platform laten weten. Het eerste beveiligingslek maakte het mogelijk om het Facebookgebruikers-ID te achterhalen dat bij een opgegeven e-mailadres of telefoonnummer hoort.
Vervolgens was het mogelijk om voor het achterhaalde gebruikers-ID een wachtwoordreset uit te voeren door de verificatiecode te bruteforcen die wordt gebruikt om een telefoonnummer te valideren. Via de wachtwoordreset kon het account worden overgenomen. Verdere details over de aanval zijn niet gegeven. Facebook beloonde de onderzoeker die de kwetsbaarheden rapporteerde met 40.000 dollar. Het bedrijf heeft de beveiligingslekken verholpen en zegt dat er geen aanwijzingen van misbruik zijn gevonden.
Verder maakt Facebook melding van een ander beveiligingslek in de standaardinstelling voor nieuw toegevoegde telefoonnummers of e-mailadressen. Wanneer gebruikers een telefoonnummer of e-mailadres toevoegden kregen ze ten onrechte te zien dat het nummer of e-mailadres alleen voor hen zichtbaar was. Door een bug was het telefoonnummer of e-mailadres echter voor iedereen zichtbaar die als "vriend" was aangemerkt.
Facebook heeft het probleem verholpen en zegt tevens een fix onder andere producten te hebben uitgerold om herhaling in de toekomst te voorkomen. Voor zover bekend is er geen misbruik van de kwetsbaarheid gemaakt om informatie van gebruikers te scrapen. De onderzoeker die het probleem meldde ontving een beloning van 15.000 dollar.
De beste Fix om geen computerproblemen te krijgen is om geen computers te gebruiken.
De beste Fix om niet met security problemen te maken te krijgen is om security mensen ver buiten de deur te houden ....
Serieus?
Facebook zal, of je wel of geen "klant" bent je data verzamelen.
Facebook zal, of je wel of geen "klant" bent je data verzamelen.
De beste Fix om geen computerproblemen te krijgen is om geen computers te gebruiken.
De beste Fix om niet met security problemen te maken te krijgen is om security mensen ver buiten de deur te houden ....
Serieus?
En natuurlijk beschreef ik Facebook en is inderdaad de beste fix om dat niet te gebruiken.
Facebook zal, of je wel of geen "klant" bent je data verzamelen.
Net zo min is het zinvol om een os dan wel applicatie als merkenoorlog te voeren.
Een rijvaardigheidbewijs (pebcak) overeenkomst ontbreekt
Een typekeuring zo met bijvooorbeeld ISO27002 ingevuld kunnen worden. Helaas zijn er nogal wat merkverslaafden / haters.
Net zo min is het zinvol om een os dan wel applicatie als merkenoorlog te voeren.
Een rijvaardigheidbewijs (pebcak) overeenkomst ontbreekt
Een typekeuring zo met bijvooorbeeld ISO27002 ingevuld kunnen worden. Helaas zijn er nogal wat merkverslaafden / haters.
Facebook zal, of je wel of geen "klant" bent je data verzamelen.
Firefox blokeert dit standaard. Dit soort extenties maken je juist meet opvallend.
De beste Fix om geen computerproblemen te krijgen is om geen computers te gebruiken.
De beste Fix om niet met security problemen te maken te krijgen is om security mensen ver buiten de deur te houden ....
Serieus?
Ehhh dat was geheel binnen de context. Facebook heeft een lek. Mensen gebruiken Facebook. Facebook zegt we hebben een fix voor het lek. En dan komt men met zo'n debiele dooddoener als; "jahhh als je facebook niet gebruikt heb heb je ook geen last van een lek"....
Kom op man. Dan is een opmerking als: "Ja en als je niet de weg op gaat krijg je geen verkeersongeluk" geheel terecht en binnen dezelfde context als de dooddoener: "Dan moet je geen Facebook gebruiken".
Nou, nee, want de aanbieder van de weg (de overheid), heeft het beste met je voor. Dat geldt niet voor Facebook. Die willen alleen jouw gegevens, om er veel geld mee te verdienen.
Een kennis van mij heeft (voor het bedrijfje) een FB account/pagina.
Vorige week ineens een FB email melding over een 'verdachte login'.
Verdacht zeker, want het was vanuit een locatie en tijd die niet konden kloppen.
Het vreemde is dat in de FB instellingen ook 2FA aanstond, dus een extra laag beveiliging voor inloggen.
We hebben de hele wachtwoord reset doorlopen, en alles opnieuw ingesteld. Alle account instellingen waren verder niet veranderd/aangepast.
Oh.. En ook gelijk een check gedaan om te zien of het emailadres niet ergens online in een 'hack' database staat. Geen resultaten kunnen vinden.
Het blijft een vreemde gebeurtenis.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
