ფეისბუქი გატყდა – წაღებულია 50 მილიონი მომხმარებლის access token-ები
——————————————————————————
28 სექტემბერს არაერთი თქვენგანი გამოვარდა ავტომატურად ფეისბუქის აპლიკაციებიდან. ზოგმა შეიძლება ისიც იფიქრა, რომ ვიღაც თქვენი პროფილის გატეხვას ცდილობდა.
რეალურად კი, ფეისბუქი გატყდა! ეს პირველი შემთხვევაა ფეისბუქის ისტორიაში.
უსაფრთხოების ხარვეზის დეტალები ასეთია: View As ფუნქციონალი, რომელიც ჩვეულებრივ მხოლოდ დათვალიერების საშუალებას უნდა იძლეოდეს, შეცდომით ვიდეოს დაპოსტვის საშუალებასაც იძლეოდა. აქედან, ვიდეოს ატვირთვის ფუნქციონალი არასწორად აგენერირებდა access token-ებს. კერძოდ, ეს token-ები გენერირდებოდა არა იმ მომხმარებლისთვის, რომელიც სხვისი პროფილით ნახულობდა თავის პროფილს View As ფუნქციონალის მეშვეობით, არამედ იმ მომხმარებლისთვის რომლის პროფილითაც ხდებოდა დათვალიერება.
შესაბამისად, თუ ჰაკერს სურდა ვინმე კონკრეტული მომხმარებლის პროფილის დაუფლება, საკმარისი იყო ამ პირის პროფილით დაეთვალიერებინა საკუთარი პროფილი View As-ის მეშვეობით, ვიდეოს ატვირთვის სისუსტე გამოეყენებინა და მიღებული access token-ით შევიდოდა მსხვერპლის პროფილზე.
სწორედ ამის თავიდან ასაცილებლად, ფეისბუქმა ავტომატურად გამოაგდო პროფილიდან 90 მილიონი მომხმარებელი, რის შედეგადაც ეს token-ები განულდა და გამოუყენებადი გახდა.
ვინც არ იცის, access token არის ტექსტური ტიპის მონაცემი, რომლის გამოყენებითაც მომხმარებელს შეუძლია საკუთარ პროფილზე დარჩეს და საიტზე ყოველი შესვლისას პაროლის აკრეფა არ უწევდეს.
ცნობისთვის, მსგავს უსაფრთხოების შეცდომაში (account take over) ფეისბუქმა მიმდინარე წლის თებერვალში $15 000 დოლარი გადაიხადა.
ჰაკერის თქმით ლაივში მარკ ცუკერბერგის პროფილი უნდა გაეტეხა, მაგრამ გადაიფიქრა
———————————————————————————
პარასკევს ცნობილი გახდა, რომ facebook-დან 50 მილიონი მომხმარებლის access token-ები მოიპარეს (ამაზე ვრცლად ჩვენს წინა პოსტში გაეცანით), ახლა კი ტაივანელმა ჰაკერმა Chang Chi-yuan-მა თქვა facebook-ის დამაარსებლის, მარკ ცუკერბერგის პროფილს ლაივ რეჟიმში გავტეხავ და ყველას ვაყურებინებო… მაგრამ გადაიფიქრა და უსაფრთხოების კრიტიკული სისუსტე კომპანიას შეატყობინა.
სავარაუდოა, რომ facebook-მა ჰაკერს ხარვეზის სანაცვლოდ სოლიდური ანაზღაურება შესთავაზა, თუმცა უცნობია კონკრეტულად რამდენი.
Chang Chi-yuan-ის განცხადებით, პროფილის გატეხვის ვიდეო შენახული აქვს და მას შემდეგ გაასაჯაროებს, რაც facebook ე.წ. bug bounty-ს თანხას გადაუხდის. უსაფრთხოების კრიტიკული სისუსტის დეტალებიც ალბათ ამ დროს გახდება ცნობილი.
ახალ UEFI BIOS-ის რუთკიტ ვირუსს მყარი დისკის შეცვლითაც ვერ მოიშორებთ
————————–
კომპანია Eset-ის უსაფრთხოების სპეციალისტებმა UEFI BIOS-ის რეალურად გამოყენებადი რუთკიტ ვირუსი პირველად აღმოაჩინეს და LoJax შეარქვეს, პროგრამა LoJack-ის მსგავსი ფუნქციების იმპლემენტირების გამო.
ვარაუდობენ, რომ აღნიშნული ვირუსი სახელმწიფო მხარდაჭერის მქონე რუსული ჰაკერული დაჯგუფება APT28 იგივე Fancy Bear_ის ნამუშევარია.
LoJax-ის მთავარი უპირატესობა ისაა რომ UEFI firmware-ში იწერება, შესაბისად ამ ვირუსს ვინდოუსის გადაყენებით ან სულაც მყარი დისკის შეცვლითაც კი ვერ მოიშორებთ. აუცილებელია ან დედა დაფის შეცვლა, ან კიდევ ახალი ოფიციალური firmware-ს ჩაწერა.
LoJax ვირუსი UEFI-ს firmware-ში სულ რამდენიმე ათეული ბაიტის მოდიფიცირებას ახდენს, მაგრამ ეს საკმარისია იმისთვის, რომ დავირუსებული კომპიუტერი ჰაკერებმა საკუთარ C&C სერვერებზე გადაამისამართონ და საჭიროების შემთხვევაში კონტროლი მოიპოვონ.
NSA-ს დეველოპერს დოკუმენტების სახლში წაღებისთვის 5 წელი მიესაჯა
————————–
Nghia Hoang Pho-ს, რომელიც NSA-ს ჰაკერულ დაჯგუფება TAO-ში (Tailored Access Operations) დეველოპერად მუშაობდა, 5.5 წლით თავისუფლების აღკვეთა მიესაჯა.
Nghia Hoang Pho-ს 2010-დან 2015 წლამდე პერიოდში NSA-ს სახელმწიფო საიდუმლოების შემცველი დოკუმენტების ასლები სახლში მიჰქონდა და კომპიუტერში ინახავდა. საიდუმლო დოკუმენტების გარდა, მას ახალი შექმნილი ჰაკერული ხელსაწყოებიც პერსონალურ კომპიუტერში ეწერა.
ფაქტი 2015 წელს გამოაშკარავდა, როდესაც რუსმა ჰაკერებმა ეს საიდუმლო დოკუმენტები მოიპარეს. ამას დაემთხვა Shadow Brokers-ის მიერ NSA-ს ჰაკერული ხელსაწყოების საჯაროდ გავრცელება და საბოლოოდ, 2015 წელსვე Nghia Hoang Pho დააპატიმრეს. შემდეგ რამდენიმე,წელი გამოძიება მიდიოდა და მხოლოდ ახლა მიესაჯა სასჯელი Pho-ს.
აღსანიშნავია, რომ Nghia Hoang Pho-ს სახლის კომპიუტერზე ანტივირუსი Kaspersky ეყენა და მიუხედავად კომპანიის განცხადებისა, რომ რუს ჰაკერებს არ დახმარებია, ამერიკის სახელმწიფო უწყებებს და მათ თანამშრომლებს ამ ანტივირუსის გამოყენება აეკრძალათ.
————————–
ფაილის სკანირების ონალინ სერვისები, როგორც წესი, ამ ფაილებს ანტივირუსულ კომპანიებს უგზავნიან, სადაც შემდეგ ეს ფაილები დამატებით ანალიზს გადის და ვირუსული კოდის აღმოჩენის შემთხვევაში ანტივირუსის ბაზაში ემატება.Scan4You 2009 წლიდან 2016 წლამდე სწორედ ფაილების ონლაინ სკანირების სერვისს სთავაზობდა მომხმარებლებს იმ განსხვავებით, რომ ფაილები არ იგზავნებოდა ანტივირუსების მწარმოებელ კომპანიებთან და თანაც, ფაილი ანონიმურად იტვირთებოდა.
შედეგად ეს სერვისი გამოყენებული იყო კიბერ კრიმინალების მიერ, რომლებიც ვირუსულ ფაილებს ჯერ Scan4You-ზე ტვირთავდნენ და სკანირების წარმატებით გავლის შემთხვევაში შეტევისთვის იყენებდნენ (არკვევდნენ ვირუსი FUD – fully undetectable იყო თუ არა).
Scan4You-ს გამოყენებამ საერთო ჯამში $20 მილიარდი დოლარის ფინანსური ზარალი მოუტანა მსოფლიოს. მარტო ამერიკაში ვირუს Citadel-მა $500 მილიონი დოლარის ზარალი მოიტანა. Citadel სწორედ Scan4You-ზე იტესტებოდა.
Scan4You-ს ოპერატორი 37 წლის Ruslans Bondars სასამართლომ დამნაშავედ ცნო კიბერ კრიმინალურ კონსპირაციაში სამი სხვადასხვა მუხლით და სასჯელის სახით 14 წლით თავისუფლების აღკვეთა მიუსაჯა.