Obavijesti

Tech

Komentari 49

'Hakeri mogu doći do vašeg imena i znati gdje se krećete'

'Hakeri mogu doći do vašeg imena i znati gdje se krećete'
1

'U ovom slučaju, problem je sigurnosna ranjivost u kodu u dijelu aplikacije za učitavanje video sadržaja i to je počiniteljima omogućilo neovlašten ulazak u sustav'

Ako se i vama dogodilo da vas je Facebook u petak tražio da se ponovo prijavite kada ste pristupali svojem korisničkom računu (iako ste stalno prijavljeni) niste jedini. Spadate u 50 milijuna onih koji su bili žrtve hakerskog napada, ili ste u onih 40 milijuna ljudi koji su koristili funkciju koja omogućava da profil vidite onako kako ga vide njegovi vlasnici s kojima niste povezani na Facebooku. 

O najnovijoj Facebookovoj sigurnosnoj aferi razgovarali smo s Lucijanom Carićem, stručnjakom za cyber sigurnost i direktorom tvrtke DefenceCode koja se bavi upravo zaštitom od ovakve vrste hakerskih napada. 

- U ovom slučaju, problem je sigurnosna ranjivost u kodu u dijelu aplikacije za učitavanje video sadržaja i to je počiniteljima omogućilo neovlašten ulazak u sustav. Prema ovome što sam vidio, ta ranjivost sustava posljednjih je godinu dana omogućavala neovlašteni pristup korisničkim računima. Kada je otkrivena, Facebookovim inženjerima trebalo je desetak dana da poprave grešku - objasnio je Carić

Napad na Facebook: Ugroženi su podaci 50 milijuna korisnika
Napad na Facebook: Ugroženi su podaci 50 milijuna korisnika

- Prema onome što je sada poznato, Facebook je imao tri povezana sigurnosna problema. Prvi je pristup u opciju za objavljivanje videa tamo gdje je nije trebalo biti. Drugi problem je to što je ta opcija za objavu videa generirala token za pristup korisničkom računu. I treće, token nije bio generiran za korisnika koji pristupa aplikaciji nego za onoga čiji ste profil u tom trenutku gledali - i time je haker dobio kompletan uvid u sve podatke kao i sam korisnik tog profila - objašnjava naš sugovornik.

- Sigurnosne ranjivosti u kodu teško je pronaći, pogotovo bez softverskih alata. Ako ne koristite te alate, morate ručno pregledavati kod, a to zavisno od veličine i složenosti aplikacije može potrajati i godinu dana, pa čak i više, napominje Carić.

Pitali smo ga zašto gigantska kompanija poput Facebooka ne koristi takvu vrstu kontrole.

- Ne, to mi stvarno nije jasno. Znam da Google ima vlastita rješenja za određene sigurnosne probleme. To možda može biti zato što ti alati mogu reagirati na greške u kodu koje to nisu, pa na taj način oduzimaju vrijeme programerima. Također, ako bude pronađen velik broj grešaka neki mogu misliti da je lakše zaboraviti na njih nego potrošiti mjesece i mjesece na njihovo ispravljanje. Također, teško je reći da li bi analitički softver pronašao ovakav tip sigurnosnog propusta - kazao je.

 

No s druge strane, hakeri koriste različite tehnike za pronalaženje određenih oblika programerskih grešaka i tako ostvaruju neovlašteni pristup. Većina sigurnosnih problema, nažalost, posljedica je grešaka nastalih prilikom izrade aplikacije. U konkretnom slučaju, one time token dio je aplikacije i služi za to da korisnici mogu ostati prijavljeni duže vrijeme, bez stalnih prijava i odjava svaki puta kada žele pristupiti svojem računu. Zahvaljujući greški u izradi aplikacije počinitelji su ga iskoristili za neovlašteni pristup. Na taj način imali su uvid u privatne podatke, koji su trebali biti dostupni samo ovlaštenim korisnicima (vlasnicima) Facebooka.

'Facebook ima velik problem s čuvanjem podataka korisnika'
'Facebook ima velik problem s čuvanjem podataka korisnika'

Ako hakeri pronađu sigurnosni propust koji im omogućuje neovlašteni pristup u sustav, oni često ne mogu unaprijed znati kakav će rezultat polučiti i taj im prvi ulaz ne mora donijeti ono po što su krenuli. No, to je prvi korak, stavljanje noge „u vrata“ i ako je on uspješan nastavit će tražiti daljnje sigurnosne slabosti i produbiti napad kako bi ostvarili najveći mogući stupanj kompromitacije napadnutog sustava.

Iako još nije poznato koje su podatke o korisnicima hakeri ukrali i u koju svrhu, Carić objašnjava: Kompromitacija podataka može biti individualna. Čak i ako počinitelji dođu samo do vašeg imena, što može izgledati benigno, to im omogućuje da vam pošalju personalizirani mail ili poruku, a personalizirani e-mailovi u pravilu imaju veću težinu od običnog spama.

Mogu doći do vašega datuma rođenja, broja telefona, imati uvid u vaše interese, lokaciju... Mogu analizirati ukradene podatke koji mogu služiti kao baza podataka za slanje spama, izvođenje prijevara, pa čak i za marketing. Naravno, podaci mogu imati i komercijalnu vrijednost pa ih mogu prodati raznim 'zainteresiranim' stranama. U ovom konkretnom napadu, ali i inače, teško je reći što hakeri namjeravaju s ukradenim podacima - zaključuje Carić. 

 

Igre na sreću mogu izazvati ovisnost. 18+.
Sve što je bitno, na dohvat ruke
Skini aplikaciju za najbolje iskustvo portala. Čitaj, komentiraj i budi uvijek u toku s najnovijim vijestima.
Komentari 49
Ovo je prva fotografija neke zvijezde izvan naše galaksije
ASTRONOMSKI USPJEH

Ovo je prva fotografija neke zvijezde izvan naše galaksije

Astronomi su snimili prvu fotografiju zvijezde izvan naše galaksije koja je udaljena 160.000 svjetlosnih godina od Zemlje. Nalazi se unutar Velikog Magellanova oblaka, jedne od malih galaksija oko Mliječne staze
Najteža kandidatkinja osme sezone napustila show: 'Da sam nastavila vani, otišla bih u smrt'
NAPUSTILA SHOW NAKON 12 TJEDANA

Najteža kandidatkinja osme sezone napustila show: 'Da sam nastavila vani, otišla bih u smrt'

Tonka je na posljednjem vaganju imala 179,3 kilograma, izgubila je 3,2 kilograma, što je 1,8% tjelesne mase.
Rođendan tragično preminulog Matije Ljubeka, legende našeg sporta: 'Ubojici neću oprostiti...'
STRADAO PRIJE 24 GODINE

Rođendan tragično preminulog Matije Ljubeka, legende našeg sporta: 'Ubojici neću oprostiti...'

Matija Ljubek u karijeri je osvojio više od 300 medalja. Iz Belišća otisnuo se u svijet i osvojio četiri olimpijske medalje. Bio je možda i najveći hrvatski sportaš svih vremena. Bio je naša olimpijska senzacija, stradao je od metka s 46 godina...