Eilen illalla ilmeni, että Facebookin kautta on mahdollisesti päästy käsiksi jopa 50 miljoonan käyttäjän tileille. Tällä hetkellä ei tiedetä tarkkaan mitä tietoja on paljastunut, mutta ainakin palvelusta löytyneiden haavoittuvuuksien kautta on ollut mahdollista päästä käsiksi profiilin perustietoihin.
Tietovuotoa on kartoitettu sen verran, että sen on todettu koskettaneen 50 miljoonaa ... [ lue koko uutinen ]
Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
Millä perusteella nuo 40 miljoonaa "muuta" käyttäjää on valikoitu? Tuntuu hassulta jos vain on randomisti valittu 40 milj. käyttäjää jotka on logattu ulos.
Lainaus, alkuperäisen viestin kirjoitti pkaksp: Millä perusteella nuo 40 miljoonaa "muuta" käyttäjää on valikoitu? Tuntuu hassulta jos vain on randomisti valittu 40 milj. käyttäjää jotka on logattu ulos.
Ylläpito näkee varmaankin access tokenin aikaleimasta onko käyttäjä ollut kirjautuneena haavoittuvuuden aikaan tms.
Uutisessa kerrotiin että uhrit on kirjattu palvelusta ulos, joka ilmeisesti tarkoittaa sitä että jos on ollut kirjautuneena, niin pitää kirjautua uudestaan.
Jos tuo oli vastaus otsikon lupaukseen, niin onko uhreje vain ne jotka ovat olleet kirjautuneena ?
Tosin rivien välistä saa käsityksen että tuo oli vain varotoimi, jolla estetään varkauksia jatkuminen.
Eli FB ei toistaiseksi ole kertonut uhreille eikä uhreilla ole toistaiseksi mitään konstia selvittää koskiko se itseä.
Haavoittuvuuden hyväksikäyttämiseksi uhrin on pitänyt olla kirjautuneena, jotta hänen access tokeniaan on voitu käyttää. Joka kerta kun käyttäjä kiejautuu ulos, access token poistetaan. Uudelleen kirjautuminen luo uuden access tokenin.
Uhrit on uloskirjattu ylläpidon toimesta ja seuraavalla sisäänkirjautumisella heille on ilmoitettu haavoittuvuudenästa.
Lainaus, alkuperäisen viestin kirjoitti Temposaur: Uhrit on uloskirjattu ylläpidon toimesta ja seuraavalla sisäänkirjautumisella heille on ilmoitettu haavoittuvuudenästa.
Eli jos ei varoitusta (ilmoitusta haavoittuvudesta) ei ole tullut, niin tämähetken käsityksen mukaan ei ole ollut vaarassa.
Lainaus, alkuperäisen viestin kirjoitti Temposaur: Haavoittuvuuden hyväksikäyttämiseksi uhrin on pitänyt olla kirjautuneena,
Onko kerrottu koska tämä vuoto on tapahtunut, eli koska on pitänyt olla kirjautuneena jotta tuo olisi ollut mahdollista.
Kiitos kovasti vastauksesta.
ymmärsin, ettei ole tiedossa onko haavoittuvuutta oikeasti käytetty. Mutta haavoittuvuus on ollut mahdollista vain tuon access tokenin avulla.
Jonkun kirjoituksen mukaan mm. Mark Zuckerbergin tiliä olisi saatettu tutkia haavoittuvuuden avulla.
