Se estranharam o facto do Facebook vos exigir um novo login sem que tivessem encerrado a sessão, o problema não estava do vosso lado. O que se passou foi um novo caso onde atacantes tiveram acesso total às contas de (pelo menos) 50 milhões de utilizadores.
Um ataque de origem ainda desconhecida terá tirado partido de múltiplas vulnerabilidades no Facebook que, quando combinadas, permitiam aos atacantes aceder a qualquer conta do Facebook que desejassem. Como medida de emergência, o Facebook fez o sign out de 90 milhões de utilizadores: 50 milhões que tinham tido as contas acedidas, e de outros 40 milhões adicionais que potencialmente também poderiam estar em risco.
Ao contrário do caso Cambridge Anayltica, onde se tratava de uma empresa ter acesso aos dados dos "amigos dos amigos", aqui estamos perante algo bem mais grave, pois os hackers poderiam utilizar as contas destes utilizadores tal como se fossem os detentores legítimos das mesmas.
Escusado será dizer que é um caso que chega na pior altura possível para o Facebook, que enfrenta pressões a todos os níveis - mas particularmente governamentais - sobre o tratamento que dá aos dados dos utilizadores, e que poderá muito bem vir a ser a gota de água que faça que alguns políticos indecisos passem a considerar necessário um controlo mais apertado sobre o funcionamento das empresas tecnológicas...
Nota: Quem tivesse serviços associados ao Facebook, como o Instagram a publicar automaticamente no Facebook, ou IFTTT, ou outros, terá que reactivar novamente a ligação ao Facebook.
Actualização: Como saber se foram afectados por este hack.
O que me faz especial espécie é como é que isto se torna um caso sério de segurança... Que validade tinham os tokens? Para ser um caso sério de segurança é porque estes tokens tinham uma validade muito para lá do que é aconselhável ou pior ainda validade nenhuma. Isto é puro amadorismo, se o Facebook é tão amador numa coisa tão simples como o bom uso dos JWT (presumo que usem isto) o que mais estará mal?
ResponderEliminarDito isto. A atitude do Facebook foi a mais correcta, ao obrigar os utilizadores a efectuar autenticação outra vez os web tokens roubados ficam inutilizados.... Se o tivessem feito na hora não dias depois 😂😂😂.
ResponderEliminar