Odhlásil vás v pátek ráno Facebook a museli jste se znovu přihlásit? Možná jste byli jednou z obětí nejnovějšího bezpečnostního průšvihu, který sociální síť řeší. Webová aplikace Facebooku obsahovala chybu ve funkci "View As", která umožňuje zobrazit obsah tak, jak ho vidí jiný uživatel (např. pro otestování viditelnosti postu). Vinou této chyby mohl útočník získat autentizační token, který se používá pro přístup k aplikaci a různým API. S tímto tokenem pak mohl učinit cokoliv, co může učinit standardní uživatel.
Podle vydané zprávy bylo chybou postiženo zhruba 50 milionů uživatelů. K nim společnost Facebook přidala dalších 40 milionů, kteří podle všeho postiženi nebyli, ale v uplynulém roce postiženou funkcionalitu použili. Těchto devadesát milionů uživatelů pak v průběhu pátku Facebook odhlásil a museli se znovu přihlásit. Tím byly zneplatněny autentizační tokeny a útočníci odříznuti od systému.
V současné době není znám způsob, jak zjistit, že jste se stali obětí tohoto útoku. Samotné odhlášení ještě neznamená, že byl váš účet postižen. Může to jen znamenat, že jste v uplynulém roce využili funkcionalitu, která obsahovala chybu. Není ohroženo ani vaše heslo, a tedy není nutné jej měnit. Zatím není známo, zda útočníci reálně zneužili účty, jejichž autentizační tokeny získali. Z pohledu koncového uživatele tedy není nic, co byste mohli v této chvíli udělat, kromě dodržování standardních bezpečnostních pravidel.
Co je autentizační token?
Pro laika může být poněkud matoucí pojem "autentizační token" (authentication token, případně access token – přístupový token). Jedná se o metodu, která je běžně používána pro přihlašování v internetových aplikacích. Funguje zhruba následovně:
Co se dočtete dál
- Jak funguje autentizační token?
- První 2 měsíce za 40 Kč/měsíc, poté za 199 Kč měsíčně
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Všechny články v audioverzi + playlist
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.