Facebook’a geçtiğimiz günlerde düzenlenensaldırıdan sonra Facebook Ürün Yönetimi Başkan Yardımcısı Guy Rosen bir yazıkaleme aldı Facebook üyelerinin de okumasını istiyorum. İzninizlepaylaşıyorum:’ İki hafta önce keşfettiğimiz ve düzelttiğimiz güvenlik sorununuaraştırmak ve insanlara saldırıyı gerçekleştirenlerin hangi bilgilerineulaştıklarını anlama konusunda yardımcı olmak adına aralıksız olarak çalıştık.Bugün, bu güvenlik açığını kötüye kullanan saldırının ayrıntılarını paylaşıyoruz.Daha küçük çaplı saldırıların gerçekleşme olasılığını da göz ardı etmiyor vearaştırmalarımıza devam ediyoruz.
Önceden de belirttiğimiz gibi, saldırıyıdüzenleyenler, Temmuz 2017 ve Eylül 2018 arasında Facebook’un kodunda var olanbir açığı kötüye kullandılar. Üç ayrı yazılım hatasının karmaşık biretkileşiminin bir sonucu olan bu açık, insanların profillerini başkasınıngözünden görmelerini sağlayan “Başkasının Gözünden Gör” özelliğini etkiledi.Güvenlik açığı, saldırıyı gerçekleştirenlerin insanların hesaplarını elegeçirmek için kullanabilecekleri Facebook erişim jetonlarını çalmalarına olanaktanıdı. Erişim jetonları, insanların Facebook’ta oturumlarının açık olmasını veböylelikle uygulamayı her kullandıklarında şifrelerini girmek zorunda kalmamalarınısağlayan dijital anahtarlara eşdeğerdir.
Bu açığı kötüye kullanan saldırıyı şu şekildebulduk. 14 Eylül 2018’de başlayan olağan dışı bir hareket artışı gördük vebunun üzerine bir inceleme başlattık. 25 Eylül’de bunun bir saldırı olduğunubelirledik ve açığı tespit ettik. İki gün içinde açığı kapattık, saldırıyıdurdurduk ve etkilenmiş olması muhtemel insanların erişim jetonlarınıyenileyerek insanların hesaplarını güvence altına aldık. Bir önlem olarak,“Başkasının Gözünden Gör” özelliğini de kapattık. İşbirliği içinde olduğumuzFBI olayı aktif olarak inceliyor ve bizden bu saldırının arkasında kimin olduğukonusunda bir yorumda bulunmamamızı istedi.
Artık biliyoruz ki, en başta düşündüğümüzdendaha az sayıda insan bu açıktan etkilendi. Erişim jetonlarının etkilenmişolabileceğini düşündüğümüz 50 milyon kişiden yaklaşık 30 milyonunun jetonlarıgerçekten çalındı.
İlk olarak, saldırıyı gerçekleştirenler,Facebook arkadaşlarına bağlı olan bir dizi hesabı ele geçirdiler. Arkadaşlarınerişim jetonlarını çalabilmek için hesaptan hesaba geçişi sağlayanotomatikleştirilmiş bir teknik kullandılar ve daha sonra onların arkadaşlarınave diğerlerine geçerek toplamda 400.000 kişiye ulaştılar. Ancak bu süreçte, buteknik, hesapların Facebook profillerini yükleyerek bu 400.000 kişinin kendihesaplarına baktıklarında görecekleri şeyleri kopyaladı. Buna zaman tünelindekigönderiler ve arkadaş listeleri de dahil… Üyesi olunan gruplar ve en sonMessenger sohbetlerinin isimleri de… Saldırıyı düzenleyenler, bir istisna dışındamesajlaşma içeriklerine ulaşamadılar. Eğer bu grubun içindeki kişilerden biri,sayfası Facebook’taki birinden mesaj almış bir Sayfa yöneticisiyse, saldırıyıgerçekleştirenler o mesajın içeriğini görebildiler.
Saldırıyı gerçekleştirenler, bu 400.000 kişininarkadaş listelerinin bir kısmını kullanarak yaklaşık 30 milyon kişinin erişimjetonlarını çaldılar. 15 milyon kişinin iki çeşit bilgisi çalındı – isim veiletişim bilgileri (telefon numarası, e-posta ya da insanların profillerindehangi bilgilerin olduğuna bağlı olarak ikisi birden). 14 milyon kişi için ise,saldırıyı düzenleyenler aynı bilgilere ve bunlara ek olarak insanlarınprofillerindeki öteki ayrıntılara da ulaştılar. Buna kullanıcı adı, cinsiyet,yer/dil, ilişki durumu, din, memleket, şu anda bulunduğu belirtilen şehir,doğum tarihi, Facebook’a erişmek için kullanılan cihaz türleri, eğitim, iş,konum bildirisi yaptıkları ya da etiketlendikleri son 10 yer, web sitesi, takipettikleri kişiler ya da sayfalar ve son 15 aramaları dahil... Saldırıyıgerçekleştirenler, 1 milyon kullanıcının ise hiçbir bilgisine erişemedi.
İnsanlar Yardım Merkezi’mizi ziyaret ederek buolaydan etkilenip etkilenmediklerini öğrenebilirler. Önümüzdeki günlerde,saldırıdan etkilenen 30 milyon kişiye özelleştirilmiş mesajlar gönderereksaldırı düzenleyenlerin hangi bilgilerine ulaşmış olabileceklerini ve bununyanı sıra, kendilerini şüpheli e-postalar, cep telefonu mesajları ya daaramalardan korumalarına yardımcı olabilmek için atabilecekleri adımlarıaçıklayacağız.
Bu saldırı Messenger, Messenger Kids,Instagram, WhatsApp, Oculus, Workplace, Sayfalar, ödemeler, üçüncü tarafuygulamaları veya reklamcı ya da geliştirici hesaplarını etkilemedi. Saldırınınarkasındaki kişilerin Facebook’u kullandıkları farklı yolları ve daha küçükölçekli saldırıları belirlemeye çalışırken, FBI, Amerikan Federal TicaretKomisyonu, İrlanda Veri Koruma Komisyonu ve diğer otoritelerle ile işbirliğinede devam edeceğiz.
