Infoturbe alal töötav teadlane Amol Baikar on avaldanud andmed sotsiaalvõrgustiku Facebooki kasutuses oleva OAuthi autoriseerimisprotokolli kümne aasta vanuse haavatavuse kohta. Selle haavatavuse ärakasutamine võimaldas Facebooki kontosid häkkida.
Nimetatud probleem puudutab funktsiooni “Logi sisse Facebookiga”, mis võimaldab oma Facebooki konto kaudu erinevatele veebisaitidele sisse logida. Tokenite vahetamiseks facebook.com-i ja kolmandate osapoolte ressursside vahel kasutatakse OAuth 2.0 protokolli, millel on puudused, mis võimaldasid ründajatel kasutajakontode häkkimiseks juurdepääsulubasid kinni püüda. Pahatahtlikke veebisaite kasutades võivad ründajad pääseda juurde mitte ainult Facebooki kontodele, vaid ka muude teenuste kontodele, mis toetavad funktsiooni "Logi sisse Facebookiga". Praegu toetab seda funktsiooni suur hulk veebiressursse. Pärast ohvrite kontodele juurdepääsu saamist saavad ründajad häkitud kontode omanike nimel sõnumeid saata, konto andmeid redigeerida ja muid toiminguid teha.
Teadaannete kohaselt teavitas teadlane Facebooki avastatud probleemist eelmise aasta detsembris. Arendajad mõistsid haavatavuse olemasolu ja parandasid selle viivitamatult. Jaanuaris leidis Baykar aga lahenduse, mis võimaldas tal pääseda ligi võrgu kasutajakontodele. Facebook parandas hiljem selle haavatavuse ja teadlane sai 55 000 dollari suuruse tasu.
Allikas: 3dnews.ru