Facebook onthulde op 28 september 2018 dat aanvallers erin slaagden een kwetsbaarheid op de site te misbruiken waardoor ze accounts van Facebook-gebruikers konden overnemen.
Het probleem, dat ongeveer 50 miljoen Facebook-accounts en mogelijk 50 miljoen meer trof, gebruikte een beveiligingslek in de functie "Bekijken als" van Facebook waardoor Facebook-gebruikers hun profielpagina's als een andere gebruiker kunnen bekijken.
Facebook-gebruikers moeten het menu "drie stippen" op hun profielpagina selecteren en de optie "Bekijken als" selecteren die als optie wordt weergegeven.
Het bedrijf heeft de functie voorlopig omgedraaid. Er wordt een melding weergegeven dat de functie voorlopig is uitgeschakeld.
"Voorbeeld van mijn profiel" uitgeschakeld
De functie "Voorbeeld van mijn profiel" is tijdelijk uitgeschakeld. Probeer het later opnieuw.
De aanvallers wisten toegangstokens te verkrijgen waarmee iedereen toegang tot een account kon krijgen, zelfs zonder een wachtwoord op te geven.
De analyse van Facebook is momenteel aan de gang. Het bedrijf reageerde snel en reset toegangstokens voor getroffen accounts (bijna 50 miljoen '), en reset toegangstokens voor nog eens 40 miljoen accounts die in het afgelopen jaar interactie hadden met View As.
Onderzoekers hebben nog niet vastgesteld of accounts zijn misbruikt of dat er toegang is verkregen tot informatie. Het bedrijf is van plan om de officiële beveiligingsupdate op zijn website bij te werken zodra het meer informatie heeft.
Wat je misschien wilt doen
De aanvallers wisten alleen toegang tot tokens te krijgen. Daarom beveelt Facebook gebruikers niet aan om accountwachtwoorden te wijzigen, omdat de aanvallers nooit accountwachtwoorden hebben gekregen.
Het opnieuw instellen van het toegangstoken blokkeert de toegang tot het Facebook-account voor iedereen die toegang probeert te krijgen met het oude toegangstoken.
Facebook geeft een aanmeldingsprompt weer voor getroffen gebruikers en een nieuwe aanmelding bij het account genereert een nieuw toegangstoken dat vanaf dat moment wordt gebruikt.
Facebook-gebruikers die door het probleem worden getroffen, ontvangen bij de volgende aanmelding een melding over het incident.
Toch zijn er enkele dingen die u misschien wilt doen:
1. Controleer de laatste aanmeldingen
Ga naar //www.facebook.com/settings?tab=security§ion=sessions&view en controleer de apparaten en locaties die worden vermeld onder "waar u bent aangemeld".
Zorg ervoor dat u daar alleen apparaten en locaties ziet die overeenkomen met uw activiteit. Doe het volgende als u vermoedt dat een ingelogde sessie door een derde partij kan zijn:
- Klik op de drie stippen rechts van die specifieke sessie.
- Selecteer Afmelden in het menu.
Als je wilt beginnen met opschonen, selecteer je in plaats daarvan "uitloggen van alle sessies" om elk apparaat dat daar wordt vermeld te blokkeren, maar het actieve apparaat het toegangstoken gebruikt om toegang te krijgen tot Facebook.
2. Voorzorgsmaatregelen
Facebook ondersteunt opties om een account beter te beveiligen.
- Ontvang meldingen over niet-herkende aanmeldingen - Facebook waarschuwt u wanneer aanmeldingen van apparaten of browsers worden opgemerkt die u in het verleden niet hebt gebruikt. Zorg ervoor dat dit aan staat.
- Geautoriseerde aanmeldingen - Bekijk de lijst met apparaten waarop u geen aanmeldcode hoeft te gebruiken. Verwijder elk apparaat of elke browser uit de lijst die u niet meer gebruikt of waar u geen toegang toe hebt.
- Twee-factor authenticatie - Voegt een extra beveiligingslaag toe aan het account. Onlangs is echter ontdekt dat Facebook het telefoonnummer voor advertentiedoeleinden gebruikt (adverteerders uploaden lijsten met telefoonnummers en als uw telefoonnummer op die lijst staat, krijgt u advertenties van die adverteerder te zien).
Misschien wilt u ook extra voorzichtig zijn als het gaat om e-mails of telefoontjes als u door het probleem bent getroffen. Als aanvallers toegang tot het account hebben gekregen, hebben ze toegang tot e-mails, uw naam en andere persoonlijke informatie die ze kunnen gebruiken bij phishing-aanvallen of social engineering-aanvallen.
