De gevolgen van het hack dat 50 miljoen Facebook-gebruikers treft, reiken verder dan aanvankelijk gedacht. De aanvallers konden potentieel ook toegang krijgen tot andere diensten zoals Airbnb, Spotify en Tinder, waar gebruikers met hun Facebook-account inloggen.
Afgelopen vrijdag maakte Facebook bekend dat het een hack van zijn systemen had vastgesteld. De onbekende hackers kregen toegang tot de accounts van 50 miljoen gebruikers, waaronder ook die van Mark Zuckerberg zelf, door een “complexe interactie van meerdere problemen in onze code” te misbruiken.
Het probleen situeert zich in de ‘View As’-functie, waarmee Facebook-gebruikers hun profiel kunnen weergeven zoals het door anderen te zien is. De aanvallers vonden een manier om langs die weg onrechtmatig toegangstokens toegewezen te krijgen, waarmee ze zich konden voordoen als andere gebruikers.
Facebook ontdekte het hack op dinsdag en had het lek tegen vrijdag gedicht, waarna het sociale netwerk het nieuws naar buiten bracht. De toegangstokens van de 50 miljoen getroffen accounts werden ingetrokken, waardoor die gebruikers werden gevraagd om opnieuw in te loggen. Facebook trok uit voorzorg ook de toegangstokens terug van 40 miljoen andere accounts die in het afgelopen jaar via de ‘View As’-functie werden bekeken.
Facebook Login
Facebook waarschuwt dat de aanvallers via het hack in theorie ook toegang kunnen krijgen tot andere diensten die gebruik maken van Facebook Login. Denk daarbij aan diensten zoals Airbnb, Spotify en Tinder, die gebruikers de mogelijkheid geven om met hun Facebook-account in te loggen. Ook Instagram, dat in handen is van Facebook, is mogelijk getroffen.
Dit maakt de impact van de aanval potentieel nog een stuk groter. Heel wat andere bedrijven en start-ups die gebruik maken van de inlogservice van Facebook, kunnen hierdoor genoodzaakt zijn om hun eigen systemen te controleren op eventuele verdachte activiteit.
“Aangezien we nog maar net aan ons onderzoek zijn begonnen, moeten we nog vaststellen of deze accounts zijn misbruikt of toegang werd verschaft tot enige informatie”, zegt Guy Rosen, VP Product Management bij Facebook. Het is voorlopig ook niet duidelijk wie achter het hack zit en wat de motieven waren.
Er zijn volgens Facebook geen wachtwoorden gelekt, waardoor het aanpassen van je wachtwoord voor dit incident geen verschil maakt.