Как Facebook защищал тунисские аккаунты
Директор по безопасности Facebook Джо Салливан (Joe Sullivan) первым заметил необычный поток жалоб от тунисских пользователей на то, что посторонние лица входят и удаляют их аккаунты. Кроме того, был зарегистрирован резкий всплеск посещаемости из Туниса. 25 декабря 2010 года Салливан поручил своему отделу безопасности изучить проблему.
В начале января 2011 года тунисские спецслужбы с помощью местного провайдера-монополиста осуществили массовый взлом аккаунтов на Facebook, пытаясь остановить организацию митингов на улицах и распространение видеороликов. Технически это было сделано с помощью внедрения вредоносного скрипта в страницу авторизации сайта для пользователей Facebook в Тунисе с последующим перехватом зашифрованного логина и пароля из фальшивого URL.
Оказывается, разработчики Facebook распознали атаку на ранних стадиях и в течение нескольких дней реализовали специальную технику защиты для пользователей из этой страны.
Сразу доказать факты захвата аккаунтов им не удалось, потому что в Тунисе у всех пользователей динамические IP. Но после десяти дней разбирательства выяснилось, что происходит нечто беспрецедентное: к 5 января 2011 года стало понятно, что скомпрометированными являются пароли всех пользователей в Тунисе. С таким Facebook ещё не сталкивался: противником выступал национальный ISP, который фильтровал весь входящий трафик и добавлял вредоносные скрипты в индивидуальные сессии пользователей. Салливану помогли опубликованные в открытых источниках работы независимых специалистов по безопасности Клэя Ширки (Clay Shirky) и Евгения Морозова, детально объясняющие механизм взлома аккаунтов Facebook правительственными спецслужбами.
Facebook воспринял это как техническую, а не политическую проблему, и начал её решать. Команда Салливана быстро выкатила двухуровневую систему. Во-первых, все запросы из Туниса автоматически перенаправлялись на https-сервер (хотя они понимали, что ISP может принудительно переводить сессию в http, но этого не произошло). Во-вторых, был запущена дополнительная процедура аутентификации для всех тунисских пользователей, которые за последнее время осуществляли авторизацию (то есть чьи пароли могли быть перехвачены). Чтобы зайти на сайт, им нужно было распознать нескольких своих френдов по фотографиям. Для 100% тунисских пользователей новая система была активирована к утру 10 января.
P.S. Идею защиты аккаунта на основе " распознавания своих френдов по фотографиям" мы с другом придумали ГОД НАЗАД! Я об этом писал не раз. Даже писал и предлагал социальной сети odnoklassniki.ru и другим сетям. Жаль, что опять нам придется только повторять чужие механизмы, а не применять их первыми!
Ещё интересное в моем блоге:
- Groupon взбрыкнул, либо Facebook предложил ему больше
- Спецслужбы США рассказали, как следят за пользователями соцсетей
- Аналитики Twitter насчитали на сервисе 50 миллионов записей в день