Originalmente publicado em 28 de setembro de 2018
Atualização sobre segurança
Por Guy Rosen, vice-presidente de Gerenciamento de Produto
Na tarde de terça-feira, 25 de setembro, nosso time de engenharia descobriu um incidente de segurança que afetou quase 50 milhões de contas. Nós estamos levando isso muito a sério e queremos avisar a todos sobre as ações imediatas que estamos tomando para proteger a segurança das pessoas.
Ainda estamos no início da nossa investigação. Mas está claro que os invasores exploraram uma vulnerabilidade no código do Facebook que impactou a funcionalidade “Ver Como“, que permite às pessoas verem como seus perfis aparecem para outras pessoas. Isso permitiu que eles roubassem tokens de acesso ao Facebook, os quais usaram para entrar nas contas das pessoas. Tokens de acesso são como chaves digitais que mantêm as pessoas logadas no Facebook para que não precisem digitar novamente sua senha toda vez que acessam o app.
A seguir, explicamos as ações que já tomamos. Nós já corrigimos a vulnerabilidade e estamos informando as autoridades sobre o ocorrido.
Nós também invalidamos os tokens de quase 50 milhões de contas que sabemos que foram afetadas, para torná-las seguras novamente. Por precaução, nós também invalidamos acesso a tokens de outras 40 milhões de contas que usaram a funcionalidade “Ver Como” no último ano. Como resultado, cerca de 90 milhões de pessoas no mundo precisam se logar de volta ao Facebook, ou a qualquer outro app que usando o Facebook Login. Após se logarem de volta, as pessoas receberão uma notificação no topo do seu Feed de Notícias explicando o que aconteceu.
Além disso, nós estamos temporariamente desativando a funcionalidade “Ver Como” enquanto conduzimos uma análise de segurança completa da funcionalidade. (Atualização em 14 de maio de 2019 às 13:00: Concluímos nossa análise de segurança e estamos reativando a versão do recurso “Ver como”, que permite às pessoas saber como seus perfis aparecem para outras pessoas que não são suas amigas no Facebook. Esta versão da ferramenta não foi afetada pelo incidente de segurança e era significativamente mais popular do que a versão “Ver como uma pessoa específica”)
Este ataque explorou uma interação complexa envolvendo uma série de ocorrências em nossos códigos. Ele nasceu de uma mudança de código que fizemos na nossa ferramenta de upload de vídeo em julho de 2017, que impactou a funcionalidade “Ver Como”. Os invasores não precisaram apenas encontrar essa vulnerabilidade e usá-la para ganhar acesso a um token, mas também tiveram que ir desta conta a outras para roubar mais tokens.
Como estamos apenas começando a nossa investigação, ainda temos que determinar se essas contas foram mal utilizadas ou se alguma informação foi acessada. Nós também não sabemos quem está por trás desses ataques ou onde os invasores estão localizados. Estamos trabalhando muito para entender melhor esses detalhes – e iremos atualizar este post quando tivermos mais informações, ou caso os fatos mudem. Além disso, caso encontremos mais contas afetadas, iremos imediatamente invalidar os seus tokens de acesso.
A privacidade e a segurança das pessoas são extremamente importantes, e sentimos muito pelo ocorrido. É por isso que nós agimos imediatamente para garantir a segurança destas contas e informar os usuários sobre o que aconteceu. Não é necessário que ninguém mude sua senha. Mas as pessoas que tiverem dificuldade para se logar de volta no Facebook – caso tenham esquecido suas senhas, por exemplo – devem visitar a nossa Central de Ajuda. E para quem quiser deslogar do Facebook por precaução, basta visitar a área de “Segurança e Login” dentro das suas Configurações. Essa área lista todos os dispositivos em que as pessoas estão logadas no Facebook, e oferece a opção de deslogar de todos eles simultaneamente com um clique.
Atualizado em 28 de setembro de 2018
Detalhes Técnicos Adicionais
Por Pedro Canahuati, VP de Engenharia, Segurança e Privacidade
Aqui estão alguns detalhes técnicos adicionais sobre o problema de segurança descrito acima.
No início da última semana de setembro, descobrimos que um ator externo atacou nossos sistemas e explorou uma vulnerabilidade que expôs tokens de acesso a contas de Facebook em HTML quando estávamos processando um componente específico do recurso “Ver como”. A vulnerabilidade foi o resultado da interação de três bugs distintos:
Primeiro: “Ver como” é um recurso de privacidade que permite que as pessoas vejam como o seu próprio perfil aparece para outras pessoas. “Ver como” deve ser uma interface apenas de visualização. No entanto, para um tipo de gerador de conteúdo (a caixa que permite postar no Facebook) – especificamente a versão que possibilita que as pessoas desejem feliz aniversário aos seus amigos – o “Ver como” forneceu incorretamente a oportunidade de postar um vídeo.
Segundo: Uma nova versão do nosso carregador de vídeos (a interface que seria apresentada como resultado do primeiro bug), apresentada em julho de 2017, gerou incorretamente um token de acesso que tinha as permissões do aplicativo móvel do Facebook.
Terceiro: Quando o carregador de vídeos aparecia como parte do “Ver como”, ele gerava o token de acesso não para o próprio dono do Perfil, mas para o usuário que você estava pesquisando.
Foi a combinação desses três bugs que gerou uma vulnerabilidade: ao usar o recurso “Ver como” para visualizar seu Perfil como se fosse um amigo, o código não removeu o gerador de contéudo que permite que as pessoas lhe desejem feliz aniversário; o carregador de vídeos gerava um token de acesso quando não deveria; e quando o token de acesso foi gerado, não era para você, mas para a pessoa que estava sendo consultada. Esse token de acesso então ficava disponível no HTML da Página, e os invasores conseguiam extrair e explorar para fazer login como outro usuário.
Os invasores puderam então migrar desse token de acesso para outras contas, executando as mesmas ações e obtendo mais tokens de acesso.
Para proteger as contas das pessoas, nós corrigimos a vulnerabilidade. Também redefinimos os tokens de acesso das quase 50 milhões de contas que sabemos que foram afetadas e também tomamos a precaução de redefinir tokens de acesso para outras 40 milhões de contas que utilizaram o recurso “Ver como” no último ano. Por fim, desativamos temporariamente o recurso “Ver como”, enquanto realizamos uma análise de segurança completa da ferramenta.