'U ovom slučaju, problem je sigurnosna ranjivost u kodu u dijelu aplikacije za učitavanje video sadržaja i to je počiniteljima omogućilo neovlašten ulazak u sustav'
'Hakeri mogu doći do vašeg imena i znati gdje se krećete'
Ako se i vama dogodilo da vas je Facebook u petak tražio da se ponovo prijavite kada ste pristupali svojem korisničkom računu (iako ste stalno prijavljeni) niste jedini. Spadate u 50 milijuna onih koji su bili žrtve hakerskog napada, ili ste u onih 40 milijuna ljudi koji su koristili funkciju koja omogućava da profil vidite onako kako ga vide njegovi vlasnici s kojima niste povezani na Facebooku.
O najnovijoj Facebookovoj sigurnosnoj aferi razgovarali smo s Lucijanom Carićem, stručnjakom za cyber sigurnost i direktorom tvrtke DefenceCode koja se bavi upravo zaštitom od ovakve vrste hakerskih napada.
- U ovom slučaju, problem je sigurnosna ranjivost u kodu u dijelu aplikacije za učitavanje video sadržaja i to je počiniteljima omogućilo neovlašten ulazak u sustav. Prema ovome što sam vidio, ta ranjivost sustava posljednjih je godinu dana omogućavala neovlašteni pristup korisničkim računima. Kada je otkrivena, Facebookovim inženjerima trebalo je desetak dana da poprave grešku - objasnio je Carić
- Prema onome što je sada poznato, Facebook je imao tri povezana sigurnosna problema. Prvi je pristup u opciju za objavljivanje videa tamo gdje je nije trebalo biti. Drugi problem je to što je ta opcija za objavu videa generirala token za pristup korisničkom računu. I treće, token nije bio generiran za korisnika koji pristupa aplikaciji nego za onoga čiji ste profil u tom trenutku gledali - i time je haker dobio kompletan uvid u sve podatke kao i sam korisnik tog profila - objašnjava naš sugovornik.
- Sigurnosne ranjivosti u kodu teško je pronaći, pogotovo bez softverskih alata. Ako ne koristite te alate, morate ručno pregledavati kod, a to zavisno od veličine i složenosti aplikacije može potrajati i godinu dana, pa čak i više, napominje Carić.
Pitali smo ga zašto gigantska kompanija poput Facebooka ne koristi takvu vrstu kontrole.
- Ne, to mi stvarno nije jasno. Znam da Google ima vlastita rješenja za određene sigurnosne probleme. To možda može biti zato što ti alati mogu reagirati na greške u kodu koje to nisu, pa na taj način oduzimaju vrijeme programerima. Također, ako bude pronađen velik broj grešaka neki mogu misliti da je lakše zaboraviti na njih nego potrošiti mjesece i mjesece na njihovo ispravljanje. Također, teško je reći da li bi analitički softver pronašao ovakav tip sigurnosnog propusta - kazao je.
No s druge strane, hakeri koriste različite tehnike za pronalaženje određenih oblika programerskih grešaka i tako ostvaruju neovlašteni pristup. Većina sigurnosnih problema, nažalost, posljedica je grešaka nastalih prilikom izrade aplikacije. U konkretnom slučaju, one time token dio je aplikacije i služi za to da korisnici mogu ostati prijavljeni duže vrijeme, bez stalnih prijava i odjava svaki puta kada žele pristupiti svojem računu. Zahvaljujući greški u izradi aplikacije počinitelji su ga iskoristili za neovlašteni pristup. Na taj način imali su uvid u privatne podatke, koji su trebali biti dostupni samo ovlaštenim korisnicima (vlasnicima) Facebooka.
Ako hakeri pronađu sigurnosni propust koji im omogućuje neovlašteni pristup u sustav, oni često ne mogu unaprijed znati kakav će rezultat polučiti i taj im prvi ulaz ne mora donijeti ono po što su krenuli. No, to je prvi korak, stavljanje noge „u vrata“ i ako je on uspješan nastavit će tražiti daljnje sigurnosne slabosti i produbiti napad kako bi ostvarili najveći mogući stupanj kompromitacije napadnutog sustava.
Iako još nije poznato koje su podatke o korisnicima hakeri ukrali i u koju svrhu, Carić objašnjava: Kompromitacija podataka može biti individualna. Čak i ako počinitelji dođu samo do vašeg imena, što može izgledati benigno, to im omogućuje da vam pošalju personalizirani mail ili poruku, a personalizirani e-mailovi u pravilu imaju veću težinu od običnog spama.
Mogu doći do vašega datuma rođenja, broja telefona, imati uvid u vaše interese, lokaciju... Mogu analizirati ukradene podatke koji mogu služiti kao baza podataka za slanje spama, izvođenje prijevara, pa čak i za marketing. Naravno, podaci mogu imati i komercijalnu vrijednost pa ih mogu prodati raznim 'zainteresiranim' stranama. U ovom konkretnom napadu, ali i inače, teško je reći što hakeri namjeravaju s ukradenim podacima - zaključuje Carić.