የደህንነት ተመራማሪ የሆኑት አሞል ባይካር ፌስቡክ በሚጠቀምበት የOAuth ማረጋገጫ ፕሮቶኮል ውስጥ የአስር ዓመት ተጋላጭነት እንዳለ ገልጸዋል። የዚህ ተጋላጭነት አጠቃቀም ጠላፊዎች የፌስቡክ አካውንቶችን እንዲሰርቁ አስችሏቸዋል።
ጉዳዩ ተጠቃሚዎች የፌስቡክ አካውንታቸውን በመጠቀም ወደተለያዩ ድረ-ገጾች እንዲገቡ የሚያስችለውን "በፌስቡክ ይግቡ" የሚለውን ባህሪ ይመለከታል። የOAuth 2.0 ፕሮቶኮል በፌስቡክ.ኮም እና በሶስተኛ ወገን ሀብቶች መካከል ቶከኖችን ለመለዋወጥ ይጠቅማል። ይህ ፕሮቶኮል አጥቂዎች የመግቢያ ቶከኖችን እንዲጠለፉ እና የተጠቃሚ መለያዎችን እንዲሰርቁ የሚያስችሏቸውን ጉድለቶች ይዟል። ተንኮል አዘል ድር ጣቢያዎችን በመጠቀም አጥቂዎች ወደ ፌስቡክ አካውንቶች ብቻ ሳይሆን "በፌስቡክ ይግቡ" የሚለውን ባህሪ የሚደግፉ ሌሎች አገልግሎቶች ላይ ያሉ መለያዎችን ማግኘት ይችላሉ። በአሁኑ ጊዜ፣ በርካታ የድር ሀብቶች ይህንን ባህሪ ይደግፋሉ። ወደ ተጎጂ መለያዎች መዳረሻ ካገኙ በኋላ አጥቂዎች መልዕክቶችን መላክ፣ የመለያ መረጃን ማርትዕ እና የተጠለፉ የመለያ ባለቤቶችን በማስመሰል ሌሎች እርምጃዎችን ማከናወን ይችላሉ።
በተገኘው መረጃ መሠረት፣ ተመራማሪው ባለፈው ታህሳስ ወር ስለደረሰበት ችግር ለፌስቡክ አሳውቋል። ገንቢዎቹ ተጋላጭነቱን አምነው ወዲያውኑ ያስተካክሉታል። ሆኖም ግን፣ በጥር ወር፣ ቤይካር የተጠቃሚ መለያዎችን ለመድረስ የሚያስችል መፍትሄ አግኝቷል። ፌስቡክ በኋላም ይህንን ተጋላጭነት አስተካክሎ ተመራማሪው 55,000 ዶላር ሽልማት አግኝቷል።
ምንጭ: 3dnews.ru
