web-dev-qa-db-ja.com

すべてのデバイスでFacebookから突然ログアウトしました。ハッキングの心配はありますか?

しばらく前、Android=でFacebookアプリを開いていたところ、「セッションの有効期限が切れました。もう一度ログインしてください。」というメッセージが表示されました。その後、現在のパスワードでログインしてみました。私のアカウントにログインします。以前は、このアカウントを作成する前に、自分のアカウントに2要素認証を設定し、ログイン後に確認したところ、まだアクティブでした。

その後、ラップトップを開いて、ChromeからFacebookに移動しました。PC上のセッションもログアウトされていることを確認するためだけです。再度ログインした後、設定の下のセキュリティに移動し、 「あなたがログインしているとき」セクションをチェックしたところ、過去にログインしたエントリがすべてなくなっていることがわかりました。私の唯一のエントリは、私の携帯電話と私のラップトップにログインしたものでした(これも私の信頼できるデバイスのようです)。

私は誰かが私のアカウントにアクセスしようとした(そして成功した?)と思っていて、現在のすべてのセッションからログアウトしました。ただし、異常なログインを認証するために電話で不審なプロンプトが表示されませんでした(「xxxxxxの近くにログインしましたか?」のように)。また、私のアカウントにアクセスしていることを通知する登録メールからの警告メールもありません。認識されないブラウザまたはコンピュータ。

Tl; dr:Facebookアカウントが突然すべてのデバイスからログアウトし、パスワードが変更されなかった、ログインエントリがなくなった、アカウントの侵害に関する電子メール警告が表示されなかった、2要素認証のプロンプトが表示されなかった。

私の質問は:

  • 誰かが私のアカウントにうまく入る可能性はありますか?はいの場合、どのようにして2要素認証をバイパスできますか?

  • そのインシデントは正常ですか、それともセキュリティ対策を講じるべきですか?

ありがとうございました!

62
MattCat15

Facebookは本日、データ漏えいを報告し、予防策として多数のアカウントを強制的にログオフさせました。出典: NY Times および Facebook

そのNYTの記事は、「同社は金曜日の初めに9千万人以上のユーザーにログアウトを強制しました。これはアカウントが侵害されたときにとられる一般的な安全対策です。」

追加記事 The Hacker Newsから- "未知のハッカーまたはハッカーのグループがソーシャルメディアプラットフォームのゼロデイ脆弱性を悪用し、シークレットアクセストークンを盗むことができました5,000万を超えるアカウントの場合 "および" Facebookは、予防措置として、影響を受けた約5,000万のFacebookアカウントと追加の4,000万のアカウントのアクセストークンをすでにリセットしています。 「

144
Teun Vink

誰かが私のアカウントにうまく入る可能性はありますか?はいの場合、どのようにして2要素認証をバイパスできますか?

アカウントに2faがある場合、攻撃者がこの悪用を利用して侵入する可能性は低いと思われます。しかし、多くのFacebookユーザーは2要素認証を使用していません。

そのインシデントは正常ですか、それともセキュリティ対策を講じるべきですか?

アクションは既に実行されています。あなたが持っていた古いトークンは、もはやあなたにとっても攻撃者にとっても有効ではありません。そのため、再度ログインしないと突然Facebookにアクセスできなくなりました。同じことが、あなたのように偽装できるトークンを悪用したいと思った人にも当てはまります-彼らもまた再認証する必要があります。この特定のエクスプロイトまたは脆弱性の結果として、Facebookの声明のいずれも、ユーザーとして認証できることを示唆していません。彼らはまた、Facebookが単にトークンをリセットする以上のことをしたことを完全に明らかにしていません。それが彼らのすべてであった場合、攻撃者がしなければならないことは、トークンの収集を再開することだけでした。 Facebookがこの脆弱性に同時にパッチを適用したため、盗まれたトークンが将来再び悪用されることはないと思います。

13
Beanluc

この質問は、FB ひどく失敗したこれの取り扱いを指摘する絶好の機会です。予期せずログアウトして再度ログインするように求められるフィッシングのように見えるであり、ユーザーはそのように扱う必要があります。

Facebookは、セッショントークンを無効にした後、無効なトークンをメインのログインページではなく、違反を説明し、ユーザーにログアウトをクリックするように求めるページにリダイレクトする必要があります。その後、手動タイプfacebook.comブラウザのロケーションバーでもう一度ログインします。

これは予防策であり、Facebookによって引き起こされました。

非常に重要なポイントを思い出させてくれます。

Facebookは掲示板です。人々に見せたくないものを掲示板に置かないでください。

覚えておいてください、そして多くの「セキュリティ」の心配がなくなります。それらのすべてではなく、それらの多く。

1
Laurence Payne