Geschäft

Der epische Facebook-Hack könnte Sie weit über Facebook hinaus – Quartz – treffen

Der epische Facebook-Hack könnte Sie weit über Facebook hinaus – Quartz – treffen

"Zwei-Faktor-Authentifizierung" ist eine beruhigende Phrase. Wenn Sie es einrichten, fühlt es sich an, als würden Sie einen brandneuen, robusten Türriegel an Ihrer Tür anbringen. Bis du merkst, dass es ein einziges Gebäude gibt, das die funktionierenden Schlüssel für Millionen von Schließbolzen speichert, gepaart mit deinem Namen und deiner Adresse, und dass dieser Ort von Leuten bewacht wird, die Schlösser nicht sehr gut verstehen.

Das ist im Grunde die Erkenntnis, die Millionen von Facebook-Nutzern als Folge der jüngsten massiven Sicherheitsverletzung des Unternehmens haben (oder sollten). In einem Beitrag vom 12. Oktober mit dem Titel "Ein Update zum Sicherheitsproblem" schrieb Guy Rosen, der Vice President of Product Management bei Facebook, dass Angreifer für "15 Millionen Menschen" auf zwei Arten von Informationen – Name und Kontaktdaten (Telefonnummer E-Mail oder beides, je nachdem, was die Leute in ihren Profilen hatten. "

Dadurch wird die Zwei-Faktor-Authentifizierung für all diese Benutzer wirksam beeinträchtigt, nicht nur bei Facebook, sondern bei jedem Dienst, der nur Textnachrichten als zweite Form der Authentifizierung zulässt. (Hier erfahren Sie, wie Sie davon betroffen sind.)

Sicherheits-Freaks haben uns schon lange gesagt, dass wir uns bei der Zwei-Faktor-Authentifizierung nicht auf Textnachrichten verlassen sollten. Es könnte sicher scheinen – Ihr Telefon ist Gesichts-ID, oder hat ein langes Passwort oder eine besonders aufwendige Geste Ding. Aber die Technologie, die dazu führt, dass ein Text zu Ihnen gelangt, ist nicht sicher.

Wie Wired 2016 schrieb: "Angriffe auf politische Aktivisten im Iran, in Russland und sogar hier in den USA haben gezeigt, dass entschlossene Hacker manchmal die SMS-Nachrichten entführen können, um Sie zu schützen." Letztes Jahr haben Sicherheitsforscher von Positive Technologies ein Video, in dem sie leicht SMS-Nachrichten abfangen und Zugang zu den Gmail- und Coinbase-Konten eines hypothetischen Ziels erhalten, indem sie nur ihren Namen und ihre Telefonnummer verwenden.

Für die genannten 15 Millionen Personen wurde jeder Service, bei dem sie registriert sind und SMS für die Zwei-Faktor-Authentifizierung verwenden, auf einen Faktor reduziert – das schlechte alte Passwort. Und das ist bei vielen Diensten der Fall. Vor wenigen Tagen hat Instagram, das Facebook gehört, davon Abstand genommen, nur Textnachrichten für 2FA zu verwenden.

Die Facebook-Hacker hätten zumindest die Namen und Telefonnummern oder E-Mails für diese 15 Millionen. Aber sie haben noch viel mehr. Der Beitrag geht weiter:

Für 14 Millionen Menschen griffen die Angreifer auf die gleichen zwei Informationssätze zu [as in name, number and/or email]sowie andere Details, die Leute auf ihren Profilen hatten. Dazu gehören Benutzername, Geschlecht, Gebietsschema / Sprache, Beziehungsstatus, Religion, Heimatstadt, selbst gemeldete aktuelle Stadt, Geburtsdatum, Gerätetypen für den Zugang zu Facebook, Bildung, Arbeit, die letzten 10 Orte, in denen sie eingecheckt oder getaggt wurden, Website, Personen oder Seiten, denen sie folgen, und die 15 letzten Suchen.

Das hat das Zeug zu einer epischen Phishing-Expedition. Es könnte sogar genug sein, um andere, persönlichere Formen der Authentifizierung zu beantworten, wie die Sicherheitsfragen, die Banken häufig verwenden, nur "Sie kennen die Antwort".

Facebook kompromittierende textbasierte SMS wird noch dadurch verschlimmert, dass Werbetreibende, wie kürzlich bekannt wurde, Nutzer anhand ihrer Telefonnummern ansprechen konnten, auch wenn sie diese Nummern nur mit Facebook geteilt hatten, um … zwei einzurichten -Faktor-Authentifizierung.

Es ist kein Wunder, dass CEO Mark Zuckerberg, nachdem er ans Licht gekommen war, nicht wirklich antworten konnte, als er gefragt wurde, ob die Anwender seinem Unternehmen immer noch vertrauen sollten.

Post Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.