Cuando Facebook anunció el viernes pasado que 50 millones de cuentas de usuarios se habían comprometido, muchos de nosotros no estábamos seguros de qué pensar.

¿Significaba que 50 millones de usuarios habían estado expuestos al contenido de una campaña de desinformación coordinada ? ¿al igual que las elecciones presidenciales de los EE. UU. De 2016?

¿O significaba que sus datos personales habían sido recopilados indebidamente por un desarrollador de aplicaciones, como fue el caso de 87 millones de usuarios en el Cambridge Analytica ? ¿escándalo?

Ninguno. Esta vez, los malos actores eran piratas informáticos, y pudieron aprovechar tres errores separados del sitio de una manera que les permitió hacerse cargo de las cuentas de usuario y usarlas como si fueran los mismos propietarios de las cuentas.

Pero parece como si hubiera un malentendido generalizado acerca de qué sucedió exactamente, y cuán graves podrían ser las implicaciones. Y eso es comprensible: es un truco complejo sobre el que no se ha revelado ni una tonelada de información, especialmente por Facebook, lo que lleva a una reacción mixta entre los usuarios.

Esto es lo que sucedió, así como lo que muestran nuestros datos sobre el sentimiento del usuario a la luz de la última violación, y de lo que podría estar detrás de esa reacción.

Un desglose de lo que sucedió

Facebook informó por primera vez la violación el viernes 28 de septiembre, aproximadamente tres días después de que supuestamente se descubrió el problema por completo. según una declaración oficial escrita por el Vicepresidente de Gestión de Producto Guy Rosen.

Hubo un aumento habitual en la actividad detectada por el sitio a mediados de septiembre, el 16, según las observaciones hechas por Rosen. durante una llamada de prensa, lo que llevó a una investigación y al descubrimiento completo el día 28.

Comenzó con una vulnerabilidad en la función "Ver como" del sitio, que permite a los usuarios ver qué aspecto podrían tener sus perfiles para otro usuario .

 Facebook-View-As

Fuente: TechCrunch

El uso de la función Ver como debería permitirte hacer eso, y cuando funciona correctamente, bloquea cualquier habilidad. para ingresar texto en cuadros de composición o alterar de otra manera el perfil que se está viendo.

Sin embargo, debido a este primer error, Ver como brindó la oportunidad de cargar un video.

Es debido a que el cargador de video se muestra que el segundo error

Para el segundo error, el cargador de video generó incorrectamente un token de acceso.

¿Qué es un token de acceso? Esencialmente, un token de acceso le permite usar una cuenta (como Facebook, Twitter o Google) para iniciar sesión en varios servicios o aplicaciones diferentes.

Es posible que esté familiarizado con el inicio de sesión de Facebook, que permite a los usuarios iniciar sesión en una aplicación utilizando su Las credenciales de Facebook, ya sea el propio Facebook u otra aplicación que use estos permisos, como Tinder. Las imágenes a continuación muestran cómo se ve un inicio de sesión de Facebook en Tinder.

 Captura de pantalla 2018-10-01 a las 5.07.40 PM

 Captura de pantalla 2018-10-01 a las 5.07.50 PM

Eso El token de acceso luego proporciona a la aplicación de terceros acceso a los datos de Facebook del usuario, como el perfil público, la lista de amigos, el cumpleaños, las fotos, los "me gusta" de la página y la dirección de correo electrónico indicada en el inicio de sesión de Tinder que se muestra arriba.

HubSpot Director de desarrollo web Dmitry Shamis describe un token de acceso como "una contraseña que no tiene que volver a ingresar", que le permite permanecer conectado tanto en Facebook como en estas otras aplicaciones sin tener que pasar por el proceso nuevamente.

Y aquí es donde aparece el tercer error. Los tokens de acceso generados por los errores primero y segundo fueron en realidad para las cuentas de los usuarios cuyos nombres se ingresaron en el cuadro "Ver como", y no el usuario cuyo perfil se estaba viendo .

Como dijo Rosen: el token de acceso generado "no era para ti sino para el p. Alguien estaba mirando hacia arriba. Ese token de acceso estaba entonces disponible en el HTML de la página, que los atacantes pudieron extraer y explotar para iniciar sesión como otro usuario ".

Por lo tanto, los hackers podrían" usar la cuenta como si fueran el titular de la cuenta, "Dijo Rosen. Se tomaron los tokens de acceso de aproximadamente 50 millones de usuarios. Facebook también dijo que otros 40 millones de usuarios fueron objeto de una consulta" Ver como "durante el último año, aunque no está claro si los tokens de acceso fueron tomada para esas cuentas.

Por qué podría ser peor de lo que parece

Facebook ha delineado las medidas tomadas en respuesta a la violación, comenzando con la reparación de la "vulnerabilidad", eliminando la funcionalidad Ver como (por ahora), y haciendo un reinicio completo de los tokens de acceso para los 50 millones de cuentas afectadas por el pirateo.

Según comentarios hechos por Rosen durante una llamada de prensa el viernes por la mañana, ese reinicio hizo que los tokens de acceso tomados por hackers "ya no se pueden usar".

Pero accor Ding a Jason Polakis, profesor asistente de ciencias de la computación en la Universidad de Illinois en Chicago, ese podría no ser el caso, según los hallazgos de un estudio que él y otros en la universidad realizaron.

Según los hallazgos del estudio, si los hackers en esta brecha de Facebook, de hecho, obtuvieron acceso a aplicaciones de terceros como usuarios cuyas cuentas estaban comprometidas; hay formas de que mantengan ese acceso, incluso si los tokens se restablecen, como lo describió Rosen. [19659031] Y lo que es más importante, una vez que los atacantes obtienen acceso a esos terceros, pueden mantener el acceso a las cuentas de usuario en esos sitios web utilizando las cookies establecidas por esos sitios. No importa lo que haga FB, no pueden hacer nada para evitar que los atacantes accedan a esas cuentas. (9 / n)

– jason polakis (@jpolakis)
  29 de septiembre de 2018

Ahora, Polakis estaba seguro de especificar que este fenómeno podría no ser "aplicable aquí". Pero Facebook se ha dicho a sí mismo que tiene muy poca información sobre cómo estos tokens de acceso fueron utilizados por los hackers, y no está seguro de cuándo se obtuvieron los tokens por primera vez.

Según Axios Tinder ha dicho desde entonces no ha encontrado ninguna "evidencia para sugerir que se haya accedido a las cuentas según la información limitada que ha proporcionado Facebook", pero al mismo tiempo, Facebook no ha proporcionado a la aplicación una lista de usuarios afectados por el hackeo. Tener esa información, dijo Tinder, sería "muy útil" para determinar cómo se podrían haber usado los tokens de acceso robados en su aplicación.

Spotify, que también ofrece inicio de sesión en Facebook, también le dijo a la publicación que no había sufrido una violación como resultado del hackeo. Facebook dice que su investigación sobre el tema aún está en sus primeras etapas.

Percepción pública: ¿A la gente le importa el hackeo?

El lunes después de que se conoció la noticia de la brecha, hicimos dos encuestas.

La primera encuesta preguntó a 727 usuarios de Internet en los EE. UU., El Reino Unido y Canadá: "Después del hackeo del sitio de Facebook anunciado la semana pasada, ¿es más o menos probable que confíe en Facebook para almacenar su información de identificación personal?" [19659002] Casi la mitad de los encuestados dijo que es menos probable que confíen en Facebook con su información de identificación personal.

 Después del hackeo del sitio de Facebook anunciado la semana pasada, ¿es más probable que confíe en Facebook para almacenar su información de identificación personal? (1 )

Luego, hicimos una segunda encuesta, donde eliminamos cualquier mención de un sitio hackeado. Le preguntamos a una audiencia separada de 753 usuarios de Internet en los EE. UU., Reino Unido y Canadá: Durante la semana pasada, ¿cómo mediría su confianza general en Facebook?

 Durante la semana pasada, ¿cómo mediría su nivel general? confiar en Facebook_

Observe la diferencia en las respuestas. Esta vez, casi la misma cantidad de personas que dijeron que su confianza en Facebook ha disminuido indicaron que sus niveles de confianza en la compañía han permanecido igual.

Entonces, ¿qué hay que explicar la discrepancia?

A pesar de proporcionar una opción en la primera encuesta para "No escuché sobre el hackeo del sitio", me pregunté cuántos encuestados eligieron esa respuesta antes de buscar el hack de Facebook.

¿Era posible que debido a que incluimos el hack en la pregunta, los encuestados buscaron ¿Más información antes de responder la pregunta? ¿Hay que decirles a los usuarios de las redes sociales que deben indignarse? ¿O es solo que la gente no está realmente sorprendida, dado el año ya tumultuoso de Facebook?

Si le preguntas al vicepresidente de marketing de HubSpot, Jon Dick, la respuesta puede estar en la tercera respuesta.

"Mi sensación aquí es que la gente solo asuma que sus datos se violan constantemente, por lo que las noticias de Facebook ni siquiera alarmaron a la gente. Lo ven en sus segundos resultados ", dijo. "Pero cuando desencadenamos a las personas que algo malo realmente sucedió, obtenemos más respuestas".

Combine esa falta de alarma, a menos que se indique lo contrario, con el hecho de que muchos usuarios aún confían en Facebook para varios propósitos. . El crecimiento mensual de usuarios activos puede haberse reducido pero a nivel mundial, 223.4 millones de personas siguen visitando el sitio cada mes.

"Mi opinión personal es que las personas están haciendo concesiones mentales. Es un punto de conexión principal con la familia. miembros, a las noticias, a la sociedad en general ", dice Meghan Keaney Anderson, VP de Marketing de HubSpot. "Y por ahora, no hay un reemplazo viable para eso. El intercambio que yo diría que la gente está haciendo es el valor muy real de ese punto de conexión, en comparación con la amenaza a la privacidad o la seguridad de los datos que todavía no se ha actualizado personalmente. "

Qué sigue

En cuanto a lo que sigue, el tiempo lo dirá. Como se ha dicho Facebook, la investigación sobre la violación aún se encuentra en sus primeras etapas.

Esto podría significar que el impacto total en los usuarios podría estar aún por determinar o determinar, y a medida que se revele más información , podría seguir afectando la percepción pública de Facebook.

"Creo que es poco probable que algunas personas cambien su comportamiento hasta que sufran un impacto agudo de la pérdida de privacidad", dice Keaney Anderson.

Por ahora, ¿qué

Por su parte, Keaney Anderson sugiere que la tarea principal es mantener a las audiencias informadas.

"Parte del trabajo que podría ser "En este punto, lo que se hace es educar a las personas sobre lo que deberían estar vigilando como resultado de esta violación de datos", aconseja. "Eso podría ayudar a las personas a calibrar su respuesta".

Continuaremos cubriendo el problema a medida que se presenten más detalles.



Source link