በመረጃ ደህንነት መስክ የሚሰራው ተመራማሪው አሞል ባይካር የማህበራዊ ድረ-ገጽ ፌስቡክ በሚጠቀምበት የ OAuth የፍቃድ አሰጣጥ ፕሮቶኮል ውስጥ የአስር አመት ተጋላጭነትን የሚያሳይ መረጃ አሳትሟል። የዚህ ተጋላጭነት ብዝበዛ የፌስቡክ አካውንቶችን ለመጥለፍ አስችሎታል።
የተጠቀሰው ችግር የፌስቡክ መለያዎን ተጠቅመው ወደ ተለያዩ ድረ-ገጾች እንዲገቡ የሚያስችልዎትን የ"Login with Facebook" ተግባርን ይመለከታል። በfacebook.com እና በሶስተኛ ወገን ሃብቶች መካከል ቶከኖችን ለመለዋወጥ የOAuth 2.0 ፕሮቶኮል ጥቅም ላይ ይውላል፣ይህም አጥቂዎች የተጠቃሚ መለያዎችን ለመጥለፍ የመዳረሻ ቶከኖችን እንዲያስተጓጉሉ ያስችላቸዋል። ተንኮል አዘል ድረ-ገጾችን በመጠቀም አጥቂዎች የፌስቡክ መለያዎችን ብቻ ሳይሆን "በፌስቡክ ግባ" የሚለውን ተግባር የሚደግፉ የሌሎች አገልግሎቶችን መለያዎች ማግኘት ይችላሉ። በአሁኑ ጊዜ ብዙ ቁጥር ያላቸው የድር ሀብቶች ይህንን ተግባር ይደግፋሉ። አጥቂዎች የተጎጂዎችን መለያ ካገኙ በኋላ መልዕክቶችን መላክ፣ የመለያ ውሂብን ማርትዕ እና የተጠለፉትን መለያዎች ባለቤቶች በመወከል ሌሎች ድርጊቶችን ማከናወን ይችላሉ።
እንደ ሪፖርቶች ተመራማሪው ባለፈው አመት በታህሳስ ወር ላይ ስለተገኘው ችግር ለፌስቡክ አሳውቀዋል. ገንቢዎቹ የተጋላጭነት መኖሩን አውቀው ወዲያውኑ አስተካክለዋል። ነገር ግን፣ በጥር ወር ቤይካር የኔትወርክ ተጠቃሚ መለያዎችን እንዲያገኝ የሚያስችለውን መፍትሄ አገኘ። ፌስቡክ ከጊዜ በኋላ ይህንን ተጋላጭነት አስተካክሏል፣ እናም ተመራማሪው የ55 ዶላር ሽልማት አግኝተዋል።
ምንጭ: 3dnews.ru