Facebook hack update: Næsten 30 millioner brugere data stjålet. Sådan finder du ud af om du er en af ​​dem

Anonim

SAN FRANCISCO - Facebook siger, at 20 millioner færre konti blev overskredet end oprindeligt troede på et af de værste sikkerhedshændelser på det gigantiske sociale netværk - 30 millioner i stedet for 50 millioner - men angriberne gav afsted med følsomme personlige oplysninger fra næsten halvdelen af ​​de brugere, der kunne sætte dem i alvorlig risiko, herunder telefonnummer og e-mail-adresse, nylige søgninger på Facebook, placeringshistorik og de typer enheder, som folk plejede at få adgang til tjenesten.

Hackers fik deres hænder på data fra 29 millioner konti som en del af sidste måneds angreb, Facebook offentliggjort fredag. Facebook anslog oprindeligt, at 50 millioner konti kunne have været påvirket, men selskabet vidste ikke, om de var blevet kompromitteret.

For omkring halvdelen af ​​dem, hvis regnskaber er brudt op - omkring 14 millioner mennesker - plukket hackerne omfattende personlige oplysninger som de sidste 10 steder, som Facebook-brugeren tjekker ind, deres nuværende by og deres 15 seneste søgninger. For de andre 15 millioner nåede hackere navn og kontaktoplysninger, ifølge Facebook. Attackere tog ingen oplysninger fra omkring 1 million mennesker, hvis regnskaber var påvirket. Facebook siger hackere fik ikke adgang til finansiel information, såsom kreditkortnumre.

Virksomheden ville ikke sige, hvad angriberens motiv var, men sagde, at det ikke havde nogen grund til at tro, at angrebet var relateret til midtermvalget i november.

Facebook-brugere kan kontrollere, om deres data blev stjålet ved at besøge virksomhedens Hjælp. Facebook siger, at det vil råde berørte brugere om, hvordan de kan beskytte sig mod mistænkelige e-mails og andre forsøg på at udnytte de stjålne data. Guy Rosen, Facebooks vicepræsident for produktstyring, sagde, at selskabet ikke har set noget bevis for, at angriberne udnyttede de stjålne data, eller at den var blevet offentliggjort på det mørke web.

Berørte brugere skal være på udkig efter uønskede telefonopkald, tekstbeskeder eller e-mails fra personer, de ikke kender, og forsøger at bruge deres e-mail-adresse og telefonnummer til at målrette spam eller forsøge at phish for andre oplysninger. Facebook-brugere skal også være forsigtige med meddelelser eller e-mails, der hævder at være fra Facebook, siger firmaet.

Tredjeparts apps og Facebook-apps som Instagram og WhatsApp blev ikke kompromitteret, ifølge Facebook. Hackere kunne ikke få adgang til private beskeder, men beskeder modtaget eller udvekslet af Facebook-sideadministratorer kan have været udsat.

Sikkerhedseksperter siger, at de 14 millioner brugere, der havde udvidet omfattende personlige oplysninger, er nu meget sårbare. Colin Bastable, adm. Direktør for Lucy Security, der fokuserer på forebyggelse og bevidstgørelse af cybersikkerhed, malede et særligt grimt scenarie.

"Sandheden er, at som følge af denne nyhed vil millioner af phishing-angreb nu blive lanceret og foregive at være fra Facebook. Op til 20 procent af modtagere vil klikke og et stort antal af dem vil blive succesfuldt angrebet, mange af dem ved hjælp af arbejdscomputere og mobile enheder, "sagde Bastable. "Virksomheder og regeringer vil miste penge, ransomware-angreb vil blive resultatet af denne lækage, og angrebet vil efterklare over mange måneder."

De skyldige bag det massive hack er ikke blevet identificeret offentligt. FBI undersøger aktivt hacket og bad Facebook om ikke at videregive oplysninger om potentielle gerningsmænd, sagde Rosen. Da de afslørede bruddet for to uger siden, sagde Facebook-embedsmænd, at de ikke vidste hvem der var bag angrebene.

Den seneste offentliggørelse, en anden i en række sikkerhedsforløb, der har rystet offentlighedens tillid til Facebook, kan intensivere den politiske varme på virksomheden. En undersøgelse påbegyndes af Irlands databeskyttelseskommission, og Rosen sagde, at Facebook også samarbejder med Federal Trade Commission og andre myndigheder. FTC nægtede at kommentere, hvis det undersøger.

"Dagens opdatering fra Facebook er signifikant nu, at det er bekræftet, at personoplysningerne fra millioner af brugere blev taget af angriberne af angrebet." Irlands databeskyttelseskommission, det vagthandelagentur, der er anklaget for beskyttelse af privatlivets fred i EU, sagde i en tweet.

Omfanget af de personlige oplysninger, der blev kompromitteret af angribere, gav et slag i PR-kampagnen Facebook har bevæget sig for at overbevise de mere end 2 mia. Mennesker, der regelmæssigt bruger tjenesten, at det er seriøst at beskytte deres personlige oplysninger, efter at 87 millioner brugere har været adgang til det politiske målretningsselskab Cambridge Analytica uden deres samtykke, og russiske operationer spredte propaganda under og efter præsidentvalget i 2016.

Denne uge erkendte Google, at en halv million konti på sit sociale netværk i Google + kunne være blevet kompromitteret af en softwarefejl. Indrømmelsen opfordrede lovgivere til at anmode om en FTC-undersøgelse. Begge hændelser kunne yderligere brænde et kongresskub for en national lov om beskyttelse af privatlivets fred for at beskytte amerikanske brugere af teknologiselskabstjenester.

"Disse virksomheder har en svimlende mængde information om amerikanere. Brud pålægger ikke blot vores privatliv, de skaber enorme risici for vores økonomi og national sikkerhed, " sagde kommissær for forbundsregeringskommissær Rohit Chopra, efter at Facebook havde afsløret databruddet i sidste måned. "Omkostningerne ved manglende handling vokser, og vi har brug for svar."

Efter regnskaberne blev sat i fare i sidste måned, blev over 90 millioner brugere tvunget til at logge ud af deres konti som en sikkerhedsforanstaltning.

Facebook siger, at angribere udnyttede en funktion i sin kode, der tillod dem at kommandere brugerens konti. Disse konti omfattede Facebook CEO Mark Zuckerberg og hans næstkommandør, Sheryl Sandberg.

Angrebet begyndte den 14. september. En spids i trafikken udløste en intern undersøgelse. Mere end en uge senere, den 25. september, identificerede Facebook sårbarheden og fastsatte den to dage senere.

Sårbarheden blev introduceret i juli 2017, da en funktion blev tilføjet, der tillader brugere at uploade glade fødselsdag videoer.

Attackere udnyttede en sårbarhed i Facebooks kode, der ramte "View As", en funktion, der gør det muligt for folk at se, hvordan deres egen profil ligner en anden. Funktionen blev bygget for at give brugerne mere kontrol over deres privatliv. Tre softwarefejl i Facebooks kode tilsluttet denne funktion tillod angribere at stjæle Facebook-adgangstokener, som de kunne bruge til at overtage folks konti.

Disse adgangstokener er som digitale nøgler, der holder folk logget ind på Facebook, så de ikke behøver at indtaste deres adgangskode hver gang de bruger Facebook.

Sådan har det fungeret: Når angriberne havde adgang til et token for en konto, kald det Jane's, de kunne så bruge "View As" for at se, hvilken anden konto, siger Tom, kunne se om Jane's konto. Sårbarheden gjorde det muligt for angriberne at få adgangstoken for Toms konto, og angrebet spredte derfra. Facebook sagde at den har slukket funktionen "View As" som en sikkerhedsforanstaltning.

I sidste måned tilbagekaldte Facebook tokens på næsten 50 millioner konti, som den troede var påvirket og som en sikkerhedsforanstaltning også nulstiller tokens for yderligere 40 millioner konti, der havde brugt "View As" i det forløbne år. Nulstilling af tokens lagrede de berørte Facebook-brugere ud af tjenesten.

En sådan overtrædelse er ikke en enkelt isoleret situation, advarer Adrien Gendre, administrerende direktør for Vade Secure North America, et e-mail-sikkerhedsfirma. Hackere drager ikke fordel af at bryde ind i Facebook-konti. Penge er lavet, bemærkede han ved at lancere spydsfiskangreb ved hjælp af de data, de har spredt, en stadig mere almindelig form for cyberattack, hvor hackere spoof en persons identitet for at få dem til at gennemføre en skriveoverførsel eller dele fortrolige oplysninger.

Og det er meget dårlige nyheder for de 14 millioner Facebook-brugere, der havde haft intime personlige oplysninger stjålet.