[av_heading heading=’هکرها از راه یک آسیب پذیری صفر-روزه ۵۰ میلیون توکن دسترسی کاربران را به سرقت بردند ‘ tag=’h1′ style=’blockquote modern-quote modern-centered’ size=” subheading_active=” subheading_size=’15’ padding=’10’ color=’custom-color-heading’ custom_font=’#4ecac2′ av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
آیا به تازگی از اکانت فیس بوک خود به صورات خودکار خارج میشوید ؟ خب باید بگوییم که تنها نیستید…
فیس بوک اعلام کرد که یک هکر یا گروهی از هکرها با سواستفاده از آسیب پذیری صفر-روزه بیش از ۵۰ میلیون توکن دسترسی کاربران را به سرقت برده اند!
این حمله ۳ روز پیش در ۲۵ سپتامبر شروع شد و هنوز تیم امنیتی فیس بوک در حال بررسی این حمله میباشد.
این آسیب پذیری که در ویژگی این برنامه اجتماعی به نام “view as” میباشد که در حال حاظر توسط فیس بوک path شده و به کاربران این اجازه را میدهد که بتوانند پروفایل شما را از دیدخودشان ببینند.
این آسیب پذیری به هکرها این اجزاره را داد که بتوانند secret access token ها را به سرقت ببرند که از این را توانستند بدون داشتن نام حساب کاربری و کلمه عبور و فاکتورهای احراز هویت دو مرحله ای،به حساب ها دسترسی داشته باشند.
این توکن ها برای این به کاربرده میشوند که کاربران به صورت login باقی بمانند و نیازی به نام کاربری و کلمه عبور برای هربار وارد شدن نباشد.
فیس بوک حدود ۹۰ میلیون از این توکن ها را ریست کرده است.
به گفته فیس بوک :
” این برای ما بسیار جد است و کاربران بدانند که این مشکل حل شده و میتوانند با اکانت های خود وارد شوند.
پس از ورود مجدد تمامی کاربران یک پست در صفحه خود خواهند داشت که این اتفاق را توضیح میدهد”
ویژگی “view as” در حال حاظر غیر فعال است.
تیم امنیتی فیس بوک درحال بررسی میباشد که آیا فقط توکن ها به سرقت رفته یا اطلاعات خصوصی کاربران نیز در معرض خطر بوده اند!
اکنون دوباره سرخط مطالاب فیس بوک میباشد که آیا این شبکه اجتماعی میتواند قابل اعتماد باشد یا خیر!
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2018/09/facebook-account-hack.png’ attachment=’2456′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
در ادامه مطلب ” هک فیسبوک ” – ۱۰ آپدیت مهم که باید بدانید
در ادامه حل مشکل آسیب پذیری که در مقاله قبل اشاره شد ، فیس بوک ۱۰ تا از آپدیت های بسیار مهم را ارائه داده است.
۱- فیس بوک رخنه را بعد از مشاهده ترافیک های نامعقول شناسایی کرد.
هفته پیش تیم امنیت فیس بوک ترافیک نامعقولی در سرور های خود مشاهده کرد که با بررسی متوجه شدند که حمله سایبری در حال وقوع است که از ۱۶ سپتامبر شروع شده.
۲- هکرها در کل ۳ آسیب پذیری فیس بوک را اکسپلویت کردند.
هکرها ها با اکسپلویت کردن ۳ آسیب پذیری که با هم ارتباط داشتند توانستند فیس بوک را هک کنند.
باگ  اول که همان باگ “view as” بود که در مقاله قبلی اشاره کردیم.
باگ دوم در آپلودکننده ویدئو بود که باعث میشد توکن های دسترسی ایجاد کند که برای لاگین کردن مورد اسافاده قرار گرفت!
باگ سوم  نیز در مورد همین توکن هاست که فقط اکانت فعلی را تحت نطر نمیگرفت و هکر میتوانست به کلید های دسترسی اکانت های دیگر نیز دستری داشته باشد.
۳- هکرها ۵۰ میلیون توکن دسترسی را به سرقت بردند.
۴- کلمه عبور اکانت شما فاش نشده و هکرها به آن دسترسی نداشتد.
۵- هکرها اطلاعات خصوصی کاربران را از طریق API فیس بوک به سرقت بردند.
گرچه هنوز معلوم نیست چه تعدا اکانت دچار این حادثه شدند ولی تمامی اطلاعات خصوصی از جمله پیام های شخصی پست ها عکس ها وغیره ، فاش شد.
۶- اکانت هایی که با آن از طریق برنامه های دیگر به صورت loged in as لاین شده اید نیز در معرض خطر هستند.
از آنجایی که توکن های دسترسی دزدیده شدند هکرها میتوانند از اکانت شما برای برنامه هایی ۳rd party که با آنها لاگین کرده بودید استفاده کنند و به آن برنامه ها نیز دسترسی داشته باشند.
۷-فیس بوک حدود ۹۰ میلیون توکن های دسترسی را ریست کرد
۸-کاربران session های فعال را چک کنند تا ببینند که اکانت آنها هک شده یا خیر.
بسیاری از کاربران متوجه حضور آی پی های ناشناس در اکانت های خود شدند که به گمان میرود این اکانت ها مورد هدف واقع شده بودند.
۹- این رخنه ربطی به هکری که ادعا کرد صفحه شخصی مارک زاکربرگ را هک میکند ، ندارد.
چندی پیش یک هکر تایوانیی ادعا کرد که میتواند فیس بوک سازنده فیسبوک را هک کند اما تا بحال اثری از این هک دیده نشده و این هکر نیز باگی را که پیدا کرده بود به فیسبوک گزارش داد.
۱۰- اکنون فیسبوک به دلیل وجود رخنه های امنیتی با قوانین و سختگیری های جدید دست و پنجه نرم میکند.
بعد از اینکه ان رخنه به صورت عمومی اعلام شد ، فیسبوک حالا با سختگیری های دولت مواجه است. ازآنجایی که اطلاعات شخصی افراد بسیار مهم میباشد بدیهی است که دولت نیز هشدار های خودش را داشته باشد. این آسیب پذیری در حال حاظر patch شده و فیسبوک به کمک FBI در حال بررسی رخداد ها است.
از آنجایی که فیسبوک ۲ میلیارد کاربر دارد فقط ۲.۵ درصد از کاربران فیسبوک مورد تعرض واقع شدند !
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکه‌های اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

بخش آموزش های سایت

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]