Facebook återigen i blåsväder efter omfattande dataläcka

Upp till 90 miljoner Facebook-användare kan ha blivit drabbade i samband med företagets senaste dataläcka. Företaget utreds nu för att ha brutit mot GDPR, och följderna riskerar att bli kostsamma.

Under det senaste året har Facebook skapat flera stora IT-säkerhetsrelaterade rubriker. Tidigare i våras uppdagades den så kallade Cambridge Analytica-skandalen, då det brittiska analysföretaget olovligen samlade in och senare använde personlig information om miljontals Facebook-användare.

Nu har företaget återigen hamnat i blåsväder efter att ha utsatts för ett omfattande dataintrång. Intrånget ska ha upptäckts den 25 september, och tre dagar senare meddelade Facebook att så många som 90 miljoner av deras användare kan ha blivit hackade.

I en bloggpost berättar Guy Rosen, Vice President Product Manager på Facebook, att angriparna har utnyttjat sårbarheter i ”View As”, en funktion som gör att användarna kan se hur deras profiler ser ut för andra. Genom att få tillgång till access tokens, en slags digital nyckel som gör att användaren slipper logga in varje gång den använder appen, har angriparna lyckats ta total kontroll över konton och på så sätt kunnat stjäla information.

Kombination av tre buggar

Den utnyttjade sårbarheten utgjordes av en kombination av tre olika buggar i ”View As”-funktionen. Den första buggen gjorde att en videospelare laddades upp på ”View As”-sidorna, vilket vanligtvis inte händer när man använder funktionen. Den andra buggen gjorde att videospelaren i sin tur kunde skapa en access token som hade tillåtelse att logga in på mobilappen, något som inte heller ska vara möjligt att göra. För att kunna fullborda angreppet krävdes även en tredje och sista bugg som gjorde att videospelaren kunde generera en ny access token. Men inte för användaren själv, utan för den personen som använde ”View As”-funktionen för att få tillgång till kontot vars användare den simulerade.

Enligt Rosen ska inga lösenord ha blivit stulna, och menar att det inte finns någon anledning för användare som inte har blivit utloggade att byta lösenord.

Kostsamma konsekvenser

Nu riskerar Facebook stora kostnader som en följd av läckan. I fredags stämde två amerikanska privatpersoner företaget med anledning av att det har utsatt miljontals användare för risker genom sitt bristfälliga säkerhetsarbete. Även DPC, Irlands Dataskyddsmyndighet, utreder om Facebook har brutit mot GDPR i samband med läckan. Om företaget bedöms skyldiga riskerar de böter på upp till 14 miljoner kronor.

Utöver de potentiella böterna sjönk även företagets aktie med 2,6 procent efter fredagens presskonferens.