Výzkumník Amol Baikar, který působí v oblasti informační bezpečnosti, zveřejnil data o deset let staré zranitelnosti v autorizačním protokolu OAuth, který používá sociální síť Facebook. Využití této zranitelnosti umožnilo hacknout účty na Facebooku.
Zmíněný problém se týká funkce „Login with Facebook“, která umožňuje přihlášení na různé webové stránky pomocí vašeho Facebook účtu. Pro výměnu tokenů mezi facebook.com a zdroji třetích stran se používá protokol OAuth 2.0, který má nedostatky umožňující útočníkům zachytit přístupové tokeny k hacknutí uživatelských účtů. Pomocí škodlivých webů by útočníci mohli získat přístup nejen k účtům na Facebooku, ale také k účtům jiných služeb, které podporují funkci „Přihlášení přes Facebook“. V současné době tuto funkci podporuje velké množství webových zdrojů. Po získání přístupu k účtům obětí mohou útočníci odesílat zprávy, upravovat data účtů a provádět další akce jménem vlastníků napadených účtů.
Podle zpráv výzkumník informoval Facebook o objeveném problému v prosinci loňského roku. Vývojáři existenci této chyby zabezpečení rozpoznali a okamžitě ji opravili. V lednu však Baykar našel řešení, které mu umožnilo získat přístup k uživatelským účtům v síti. Facebook později tuto zranitelnost opravil a výzkumník dostal odměnu 55 000 dolarů.
Zdroj: 3dnews.ru