İnformasiya təhlükəsizliyi sahəsində çalışan tədqiqatçı Amol Baykar Facebook sosial şəbəkəsi tərəfindən istifadə edilən OAuth icazə protokolunda on illik boşluq haqqında məlumatları dərc edib. Bu boşluqdan istifadə Facebook hesablarını sındırmağa imkan verdi.
Qeyd olunan problem Facebook hesabınızdan istifadə edərək müxtəlif veb saytlara daxil olmağa imkan verən “Facebook ilə Giriş” funksiyasına aiddir. facebook.com və üçüncü tərəf resursları arasında token mübadiləsi üçün OAuth 2.0 protokolundan istifadə olunur ki, bu protokolun çatışmazlıqları təcavüzkarların istifadəçi hesablarını sındırmaq üçün giriş nişanlarını ələ keçirməsinə imkan verir. Zərərli saytlardan istifadə edərək, təcavüzkarlar təkcə Facebook hesablarına deyil, həm də “Facebook ilə daxil ol” funksiyasını dəstəkləyən digər xidmətlərin hesablarına daxil ola bilərdilər. Hazırda çoxlu sayda veb-resurs bu funksiyanı dəstəkləyir. Qurbanların hesablarına giriş əldə etdikdən sonra təcavüzkarlar sındırılmış hesabların sahibləri adından mesajlar göndərə, hesab məlumatlarını redaktə edə və digər hərəkətləri edə bilərlər.
Məlumatlara görə, tədqiqatçı aşkarlanan problemlə bağlı Facebook-u ötən ilin dekabrında məlumatlandırıb. Tərtibatçılar zəifliyin mövcudluğunu tanıdılar və onu dərhal aradan qaldırdılar. Bununla belə, yanvar ayında Baykar ona şəbəkə istifadəçi hesablarına giriş əldə etməyə imkan verən bir həll yolu tapdı. Facebook daha sonra bu zəifliyi aradan qaldırdı və tədqiqatçı 55 dollar mükafat aldı.
Mənbə: 3dnews.ru