O investigador en seguridade da información Amol Baikar publicou datos sobre unha vulnerabilidade de dez anos no protocolo de autorización OAuth que utiliza a rede social Facebook. A explotación desta vulnerabilidade permitiu que as contas de Facebook fosen pirateadas.
O problema mencionado refírese á función "Iniciar sesión con Facebook", que che permite iniciar sesión en diferentes sitios web usando a túa conta de Facebook. Para intercambiar tokens entre facebook.com e recursos de terceiros, utilízase o protocolo OAuth 2.0, que ten fallos que permiten aos atacantes interceptar tokens de acceso para piratear contas de usuarios. Usando sitios maliciosos, os atacantes poderían acceder non só ás contas de Facebook, senón tamén a contas doutros servizos que admiten a función "Iniciar sesión con Facebook". Actualmente, un gran número de recursos web admiten esta función. Despois de ter acceso ás contas das vítimas, os atacantes poden enviar mensaxes, editar datos da conta e realizar outras accións en nome dos propietarios das contas pirateadas.
Segundo os informes, o investigador notificou a Facebook sobre o problema descuberto en decembro do ano pasado. Os desenvolvedores recoñeceron a vulnerabilidade e solucionalo pronto. Non obstante, en xaneiro, Baikar atopou unha solución que permite o acceso ás contas dos usuarios da rede. Máis tarde Facebook tamén solucionou esta vulnerabilidade e o investigador recibiu unha recompensa de 55 dólares.
Fonte: 3dnews.ru