Istraživač informacijske sigurnosti Amol Baikar objavio je podatke o deset godina staroj ranjivosti u OAuth autorizacijskom protokolu koji koristi društvena mreža Facebook. Iskorištavanje ove ranjivosti omogućilo je hakiranje Facebook računa.
Navedeni problem odnosi se na funkciju “Login with Facebook” koja vam omogućuje prijavu na različite web stranice pomoću vašeg Facebook računa. Za razmjenu tokena između facebook.com i resursa trećih strana koristi se protokol OAuth 2.0 koji ima nedostatke koji napadačima omogućuju presretanje tokena pristupa kako bi hakirali korisničke račune. Koristeći zlonamjerne stranice, napadači bi mogli dobiti pristup ne samo Facebook računima, već i računima drugih servisa koji podržavaju funkciju "Login with Facebook". Trenutačno veliki broj web izvora podržava ovu značajku. Nakon što dobiju pristup računima žrtava, napadači mogu slati poruke, uređivati podatke računa i obavljati druge radnje u ime vlasnika hakiranih računa.
Prema izvješćima, istraživač je obavijestio Facebook o otkrivenom problemu u prosincu prošle godine. Programeri su prepoznali ranjivost i odmah su je popravili. Međutim, u siječnju je Baikar pronašao zaobilazno rješenje koje omogućuje pristup računima korisnika mreže. Facebook je kasnije popravio i ovu ranjivost, a istraživač je dobio nagradu od 55 dolara.
Izvor: 3dnews.ru