Facebook 28 Eylül Cuma günü yaptığı açıklama ile 50 milyonu doğrudan olmak üzere üzere 90 milyon kullanıcıyı etkileyen zafiyetin ayrıntılarını duyurdu.
Ziyahan Albeniz- KARAR - Açıklamaya göre zafiyetin ortaya çıkmasının üç nedeni var. İlki Facebook gizlilik menüsünde yer alan "Başkalarının Gözünden Gör" yani View As fonksiyonu. Bu özellik sayesinde profilinizi seçtiğiniz bir kullanıcının gözüyle görerek, gizlilik ayarlarınızı değiştirebiliyorsunuz.
2017 yılında Facebook'a eklenen video yükleme seçeneği ise zafiyetin ortaya çıkmasındaki kritik noktalardan bir diğeri. Video Upload seçeneği ile bir arkadaşınızın doğum gününü video yükleyerek kutlamanız mümkün. Facebook bu aşamada erişim anahtarı ("access token") adı verilen dijital bir anahtar üreterek Facebook oturumunuza kullanıcı adı ve parola girmek zorunda kalmadan diğer ortamlarda da örneğin web tarayıcınızda, üçüncü parti sitelerde (Örneğin Instagram'ın Facebook ile Login Ol özelliği gibi.) devam etmenizi sağlıyor.
Facebook'un açıklamasına göre normal şartlarda Video Upload özelliğinin View As yani Başkalarının Gözünden Gör fonksiyonu ile beraber aktif olmaması gerekiyorken, yazılımda bulunan bir açık nedeniyle etkin olduğunu; bu özellik sayesinde profilinizi bakış açısıyla kontrol ettiğiniz kullanıcılar için de bir dijital anahtar üretildiğini belirtiyor. Bu dijital anahtarı kullanan saldırganlar ilgili kullanıcının oturumunu kullanıcı adı ve parola bilgilerine sahip olmasalar dahi tüm hakları ile kullanabiliyor.
Bir kullanıcıdan diğerine sıçrayarak yaklaşık 50 milyon kişiyi etkilediği tespit edilen zafiyet neticesinde kullanıcıların isim, soyisim, cinsiyet, yaş ve yerleşim yeri bilgilerinin elde edildiği açıklamadaki en önemli teknik detay olarak göze çarpıyor. Zafiyetin diğer etkileri ve saldırının ardındaki kişi ya da gruplara erişmek için Facebook ve FBI ortaklaşa çalışmalarını sürdürüyorlar.
16 Eylül günü sistemlerindeki olağandışı hareketlilik nedeniyle zafiyeti tespit ettiğini belirten Facebook ekibi, zafiyetin ortaya çıktığı kodu onarmanın yanında verilerine erişildiğini tespit ettiği 50 milyon hesabın oturumlarını sonlandırarak, üretilen dijital anahtarları sıfırladı. Facebook'daki açık oturumlarını kaybeden kullanıcıların kullanıcı adı ve parolalarını girerek sisteme tekrar giriş yapmaları gerekiyor.
Zafiyetin bulunduğu "Başkasının Gözünden Gör" fonksiyonunu kullanan ve saldırıdan etkilenmesi muhtemel olan 40 milyon kişinin de oturumları tedbiren sonlandırılarak, dijital anahtarları sıfırlandı.
Zafiyetten etkilenen kullanıcılar Facebook'a giriş yaptıklarında Bildirim alanında konuya dair bir duyuru ile karşılaşacaklar.
Facebook tarafından yapılan açıklamada erişim anahtarlarını (access-token) elde eden sladırganların zafiyetten etkilenen kişilerin Facebook hesapları ile oturum açtığı diğer servislerdeki hesaplarına da erişebilecekleri belirtiliyor.
Facebook'un açıklamasında zafiyetin teknik ayrıntıları ve etkilerine dair elde ayrıntılı analizin ilerleyen günlerde paylaşılacağı belirtiliyor.
