Facebook mendedahkan pada 28 September 2018 bahawa penyerang berjaya memanfaatkan kerentanan di laman web yang membolehkan mereka mengambil alih akaun pengguna Facebook.
Isu ini, yang menjejaskan 50 juta akaun Facebook dan berpotensi 50 juta lebih, menggunakan kelemahan dalam ciri "Lihat As" Facebook yang membolehkan pengguna Facebook melihat halaman profil mereka sebagai pengguna lain.
Pengguna Facebook perlu memilih menu "tiga titik" di halaman profil mereka dan pilih pilihan "Lihat As" yang dipaparkan sebagai pilihan apabila mereka melakukannya.
Syarikat itu bertukar ciri untuk sekarang. Pemberitahuan dipaparkan kepada anda bahawa ciri telah dilumpuhkan pada masa ini.
"Pratonton Profil Saya" Dinyahdayakan
Ciri "Pratonton Profil Saya" dilumpuhkan buat sementara waktu. Sila cuba sebentar lagi.
Penyerang berjaya mendapatkan token akses yang membolehkan sesiapa sahaja mengakses akaun walaupun tanpa membekalkan kata laluan.
Analisis Facebook berterusan pada masa ini. Syarikat itu bertindak pantas dan menetapkan semula token akses untuk akaun terjejas (hampir 50 juta '), dan menetapkan semula token akses untuk 40 juta lagi akaun yang berinteraksi dengan View As pada tahun lalu.
Penyiasat belum menentukan sama ada akaun telah disalahgunakan atau jika maklumat telah diakses. Syarikat itu merancang untuk mengemas kini pos kemas kini keselamatan rasmi di laman webnya apabila ia mempunyai lebih banyak maklumat.
Apa yang anda mahu lakukan
Penyerang berjaya mendapatkan akses kepada token akses sahaja. Itulah sebabnya Facebook tidak mencadangkan kepada pengguna untuk mengubah kata laluan akaun kerana penyerang tidak pernah memegang kata laluan akaun.
Penetapan akses blok akses token kepada akaun Facebook bagi sesiapa sahaja yang cuba mengaksesnya menggunakan token akses lama.
Facebook memaparkan permintaan log masuk untuk pengguna yang terjejas dan log masuk baru ke akaun menjana token akses baru yang digunakan dari titik itu ke hadapan.
Pengguna Facebook yang terjejas oleh isu ini menerima pemberitahuan tentang insiden pada daftar masuk seterusnya.
Namun, ada beberapa perkara yang anda ingin lakukan:
1. Semak log masuk terakhir
Pergi ke //www.facebook.com/settings?tab=security§ion=sessions&view dan periksa peranti dan lokasi yang disenaraikan di bawah "tempat anda log masuk".
Pastikan anda hanya melihat peranti dan lokasi di sana yang sepadan dengan aktiviti anda. Lakukan yang berikut jika anda mengesyaki bahawa sesi log masuk mungkin oleh pihak ketiga:
- Klik pada tiga titik di sebelah kanan sesi itu.
- Pilih Keluar dari menu.
Jika anda ingin mula bersih, pilih "log keluar semua sesi" dan sebaliknya untuk menyekat mana-mana peranti yang disenaraikan di sana tetapi yang aktif dari menggunakan token akses untuk mengakses Facebook.
2. Langkah berjaga-jaga
Facebook menyokong pilihan untuk mendapatkan lebih baik akaun.
- Dapatkan Isyarat tentang log masuk yang tidak diiktiraf - Facebook memberitahu anda apabila ia notis log masuk dari peranti atau penyemak imbas yang anda tidak gunakan pada masa lalu. Pastikan bahawa ini sedang dijalankan.
- Log masuk yang Dibenarkan - Semak senarai peranti di mana anda tidak perlu menggunakan kod log masuk. Keluarkan sebarang peranti atau penyemak imbas pada senarai yang anda tidak gunakan lagi atau tidak mempunyai akses kepada.
- Pengesahan dua faktor - Menambah lapisan tambahan perlindungan ke akaun. Walau bagaimanapun, baru-baru ini diketahui bahawa Facebook akan menggunakan nombor telefon untuk tujuan pengiklanan (pengiklan memuat naik senarai nombor telefon, dan jika nombor telefon anda berada pada senarai itu, anda akan dihidangkan iklan dari pengiklan itu).
Anda juga mungkin mahu berhati-hati ketika datang ke e-mel atau panggilan telefon jika anda telah dipengaruhi oleh masalah ini. Sekiranya penyerang mendapat akses ke akaun, mereka mempunyai akses kepada e-mel, nama anda, dan maklumat peribadi lain yang mungkin mereka gunakan dalam sasaran pemancingan atau serangan kejuruteraan sosial.
