Mae'r ymchwilydd Amol Baikar, sy'n gweithio ym maes diogelwch gwybodaeth, wedi cyhoeddi data ar fregusrwydd deg oed yn y protocol awdurdodi OAuth a ddefnyddir gan y rhwydwaith cymdeithasol Facebook. Roedd ecsbloetio'r bregusrwydd hwn yn ei gwneud hi'n bosibl hacio cyfrifon Facebook.
Mae'r broblem a grybwyllwyd yn ymwneud â'r swyddogaeth “Mewngofnodi gyda Facebook”, sy'n eich galluogi i fewngofnodi i wahanol wefannau gan ddefnyddio'ch cyfrif Facebook. I gyfnewid tocynnau rhwng facebook.com ac adnoddau trydydd parti, defnyddir protocol OAuth 2.0, sydd â diffygion a oedd yn caniatáu i ymosodwyr ryng-gipio tocynnau mynediad i hacio cyfrifon defnyddwyr. Gan ddefnyddio gwefannau maleisus, gallai ymosodwyr gael mynediad nid yn unig i gyfrifon Facebook, ond hefyd i gyfrifon gwasanaethau eraill sy'n cefnogi'r swyddogaeth “Mewngofnodi gyda Facebook”. Ar hyn o bryd, mae nifer fawr o adnoddau gwe yn cefnogi'r swyddogaeth hon. Ar ôl cael mynediad i gyfrifon dioddefwyr, gall ymosodwyr anfon negeseuon, golygu data cyfrif, a pherfformio gweithredoedd eraill ar ran perchnogion y cyfrifon wedi'u hacio.
Yn ôl adroddiadau, hysbysodd yr ymchwilydd Facebook am y broblem a ddarganfuwyd ym mis Rhagfyr y llynedd. Roedd y datblygwyr yn cydnabod bodolaeth y bregusrwydd ac yn ei drwsio'n brydlon. Fodd bynnag, ym mis Ionawr, daeth Baykar o hyd i ateb a oedd yn caniatáu iddo gael mynediad at gyfrifon defnyddwyr rhwydwaith. Yn ddiweddarach, gosododd Facebook y bregusrwydd hwn, a derbyniodd yr ymchwilydd wobr o $55.
Ffynhonnell: 3dnewyddion.ru