2021. október 4-én magyar idő szerint 18 óra előtt pár perccel a Facebook minden szolgáltatása - köztük az Instagram, Messenger és Whatsup - elérhetetlenné vált.

A Biztonság Akadémia CERT (Cumputer Emergency Response Team) pár perccel az esemény után kapott riasztást, hogy vizsgálja ki az eseményt. Mivel szigorú titoktartás köt minket most is, csupán szűkszavúan tudok nyilatkozni az eredményekről.

A vizsgálat első szakaszában a kollégák helytelenül arra a következtetésre jutottak, hogy a hálózati forgalom elosztásáért felelős BGP protokoll lesz a hiba oka. Ez természetesen észszerű magyarázatnak tűnt a jelenségek ismeretében, így egy előzetes gyorsjelentés napvilágot is látott a sajtóban. Ez azonban hiba volt részünkről, amiért természetesen vállaljuk a felelősséget.

A valódi okok megértéséhez egy véletlen vezetett el minket: a helyreállítás során ugyanis eltéréseket találtunk a kiemelt felhasználók listájában. Ez a lista tartalmazza azokat a kiemelt felhasználói hozzáféréseket, amik a FACEBOOK core rendszerek használnak a hitelességi fa legfelső szintű tanúsítványaként.

Itt akadtunk rá a kiváltó okra, ami egy Oklahoma City beli IP címhez tartozott. Az access log alapján a következő parancsokat tudtuk azonosítani:

> login: Chuck   [ENTER]

> FB ... Success login

> Start process: Facebook --uninstall --force   [ENTER]

> Confirmation required! ...

> user: Chuck Norris   [ENTER]

> Access granted. FACEBOOK removal in progress.

> 404!

> 404!

> 404!

A naplófájl itt megszakad, azonban ez már elégséges információkkal szolgált, mi történhetett pontosan: Chuck Norris eltávolította a FACEBOOK alkalmazást a telefonjáról.

Most ennyi, hamarosan jelentkezünk a technikai részletekkel.

A Biztonság Akadémia csapata.