Около 10 лет существовала позволяющая взломать любой аккаунт Facebook уязвимость
Опубликовал: FIELD LINE, 3-03-2020, 01:48, Жизнь / В мире, 519, 1
Исследователь Амол Байкар (Amol Baikar), работающий в сфере информационной безопасности, обнародовал данные о существующей в течение десяти лет уязвимости в протоколе авторизации OAuth, используемом в социальной сети Facebook. Эксплуатация данной уязвимости позволяла осуществлять взлом аккаунтов Facebook.
Упомянутая проблема касается функции «Войти через Facebook», которая позволяет авторизоваться на разных веб-площадках с помощью учётной записи Facebook. Для обмена токенами между facebook.com и сторонними ресурсами применяется протокол OAuth 2.0, который имеет недостатки, позволявшие злоумышленникам перехватывать токены доступа для взлома пользовательских учётных записей. Используя вредоносные сайты, злоумышленники могли получить доступ не только к аккаунтам в Facebook, но и к учётным записям других сервисов, в которых поддерживается функция «Войти через Facebook». В настоящее время большое количество веб-ресурсов поддерживают эту функцию. После получения доступа к аккаунтам жертв злоумышленники могут отправлять сообщения, редактировать данные учётных записей, а также совершать другие действия от имени владельцев взломанных аккаунтов.
Согласно имеющимся данным, исследователь уведомил Facebook об обнаруженной проблеме в декабре прошлого года. Разработчики признали наличие уязвимости и оперативно устранили её. Однако в январе Байкар нашёл обходной путь, позволяющий получить доступ к учётным записям пользователей сети. Позднее Facebook исправила и эту уязвимость, а исследователь получил вознаграждение в размере $55 000.
Упомянутая проблема касается функции «Войти через Facebook», которая позволяет авторизоваться на разных веб-площадках с помощью учётной записи Facebook. Для обмена токенами между facebook.com и сторонними ресурсами применяется протокол OAuth 2.0, который имеет недостатки, позволявшие злоумышленникам перехватывать токены доступа для взлома пользовательских учётных записей. Используя вредоносные сайты, злоумышленники могли получить доступ не только к аккаунтам в Facebook, но и к учётным записям других сервисов, в которых поддерживается функция «Войти через Facebook». В настоящее время большое количество веб-ресурсов поддерживают эту функцию. После получения доступа к аккаунтам жертв злоумышленники могут отправлять сообщения, редактировать данные учётных записей, а также совершать другие действия от имени владельцев взломанных аккаунтов.
Согласно имеющимся данным, исследователь уведомил Facebook об обнаруженной проблеме в декабре прошлого года. Разработчики признали наличие уязвимости и оперативно устранили её. Однако в январе Байкар нашёл обходной путь, позволяющий получить доступ к учётным записям пользователей сети. Позднее Facebook исправила и эту уязвимость, а исследователь получил вознаграждение в размере $55 000.