Szeptember végén derült ki, hogy az első hírek szerint 50, a Facebook későbbi pontosítása alapján 29 millió Facebook-felhasználó adataihoz fértek hozzá ismeretlen támadók. (Itt ellenőrizheted, hogy az érintettek között vagy-e.) Ilyenkor rengeteg kérdés merül fel: meg kell változtatnunk a jelszavunkat? Ha használtunk kétlépcsős beléptetést, akkor is érinthetett minket a támadás? Milyen adatainkat tudták ellopni? A kapcsolódó appokhoz, a Messengerhez és a Tinderhez is hozzáférhettek a támadók?

Modern autentikáció

Mindenfajta autentikáció valami olyan dolgon alapszik, ami csak az adott felhasználóra jellemző. Ilyen például a lakáskulcs (valami, amit csak mi birtoklunk), az aláírás (valami, amit csak mi tudunk produkálni), az ujjlenyomat (valami, ami csak mi vagyunk), és a jelszó is (valami, amit csak mi ismerünk). A manapság tipikus modern autentikációk azonban két módon eltérnek ettől.

Egyrészt a kétlépcsős beléptetés során nemcsak egy jelszóra van szükségünk (valami, amit csak mi ismerünk), hanem a telefonunkra is (valami, amit csak mi birtoklunk). Leggyakrabban SMS-ben érkezik a belépéshez szükséges egyszerhasználatos kód, ami a jelszavakat egészíti ki. Ez hatalmas előrelépés a fiókok biztosításában, hiszen a sikeres támadáshoz a jelszó feltörése mellé még a felhasználó telefonját is meg kellene szerezni, vagy legalábbis az SMS-eihez hozzáférni. Ezért a kétlépcsős beléptetést mindenhol érdemes bekapcsolni - a Facebookon ez itt tehető meg, más oldalakhoz pedig itt található útmutató.

Másrészt sokszor már nem is az adott appon, pl. a Tinderen regisztrálunk, hanem a Google- vagy a Facebook-fiókunkat használjuk beléptetésre. Erre az úgynevezett auth tokenek, azaz magyarul körülbelül “beléptető jegyek” miatt van lehetőség. Ezt elképzelhetjük úgy, mint egy koncertjegyet. Miután a jegyet megkaptuk, bárkire átruházhatjuk, és az illető a jegy birtokában használhatja azokat a szolgáltatásokat, amikre a jegy feljogosítja: nevezetesen elmehet a koncertre. A VIP-részlegre vagy az énekessel történő fotózásra azonban csak azok léphetnek be, akiknek a jegye az adott szolgáltatásra is érvényes.

Amikor a Tinderre belépünk, igazából a Facebook szervereire lépünk be, amelyik egy ilyen jegyet, egy auth tokent bocsát a Tinder rendelkezésére. A jegy csak bizonyos adatokhoz ad hozzáférést: a Tinder esetében pl. a névhez, korhoz, fényképekhez, máshoz nem. Ezért bizton tudhatjuk, hogy a Tinder ha akarna sem tudna a nevünkben posztolni a Facebookra - ehhez ugyanis engedélyeznünk kellene egy erre feljogosító jegyet.

A jelszót nem kell megváltoztatni

Mi történt a Facebooknál? A támadók nem a jelszavakhoz fértek hozzá, hanem bizonyos felhasználók auth tokenjeihez. Erre a Facebook “view as” (“nézd meg másként”) módjának egy hibája miatt volt lehetőségük. Ezzel a gombbal azt ellenőrizhette (amíg a Facebook a támadás után ki nem kapcsolta ezt a lehetőséget) egy felhaszáló (A), hogy egy másik felhasználó (B) számára hogyan néz ki a profilja: mit láthat belőle egy idegen, egy barát vagy egy családtag. Ezt a Facebook mérnökei valószínűleg úgy oldották meg, hogy a B felhasználó jegyéhez hasonló objektumot adtak az A felhasználónak, ezzel szimulálva B hozzáférését - mintha A kölcsönvenné B (limitált) jegyét. Ez okozhatta azt a sebezhetőséget, amivel a támadók más felhasználók teljes értékű auth tokenjeihez férhettek hozzá.

Így már rögtön érthető, hogy miért kellett újra bejelentkezniük a potenciálisan érintett felhasználóknak a Facebookra és a kapcsolódó appokra: elővigyázatosságból a Facebook minden létező auth tokent érvénytelenített. Ennek eredményeként a kapcsolódó appok, például a Tinder nem tudták tovább használni a már kiadott jegyeket, azaz mindenhol újra el kellett végezni az autentikációt.

Ebből az is kiderül, hogy ezúttal miért nincs szükség jelszóváltoztatásra: a támadók csak a jegyekhez fértek hozzá, a jelszavakhoz nem. Ezért nem segített most a kétlépcsős bejelentkezés sem a visszaélés megakadályozásában (de ettől még más hackelésnél védelmet nyújthat).

A jegyek természete miatt kezdetben felmerült annak a lehetősége, hogy kapcsolódó appokhoz is hozzáférhettek a támadók - azonban a Facebook mérnökei később kizárták ezt a lehetőséget. Továbbá a jegyek csak bizonyos adatok, például a név, az emailcím és az esetek felében egyéb profilinformációk felhasználására jogosítottak fel, ezért attól sem kell félnünk, hogy a nevünkben tudnak posztolni, vagy hogy elolvasnák az üzeneteinket.

Tendencia?

Mit árul el mindez a Facebookról? Tény, hogy a cég deklarált alapértékei között sosem szerepelt az adatbiztonság és a magánszféra védelme, és manapság is csak üzleti okok miatt figyel különösebben erre a területre. Ezzel együtt is a szeptemberben nyilvánosságra hozott támadás inkább technikai mulasztásnak tűnik (ezesetben három szoftverhiba egybeesése) mint értékbeli zavaroknak, hiszen nem a cég szabályozása miatt történt baj (szemben korábbi botrányokkal, mint pl. a Cambridge Analytica esetében). Viszont tény, hogy a sokszor akár állami megrendelésre végrehajtott hackelések egyre gyakoribbak: ezért továbbra is érdemes észben tartani, hogy amit online megosztunk, az soha nincs teljes biztonságban.

A szerző a Palantir Technologies munkatársa. Véleménye nem tükrözi a cég álláspontját. További Qubiten megjelent cikkei itt olvashatók.