Az információbiztonság területén dolgozó Amol Baikar kutató a Facebook közösségi oldal által használt OAuth engedélyezési protokoll egy tíz éves sebezhetőségéről tett közzé adatokat. A biztonsági rés kihasználása lehetővé tette a Facebook-fiókok feltörését.
Az említett probléma a „Bejelentkezés Facebookkal” funkcióra vonatkozik, amely lehetővé teszi, hogy különböző webhelyekre jelentkezzen be Facebook fiókjával. A facebook.com és a külső források közötti tokenek cseréjéhez az OAuth 2.0 protokollt használják, amelynek hiányosságai lehetővé teszik a támadók számára, hogy elfogják a hozzáférési tokeneket, hogy feltörjék a felhasználói fiókokat. A rosszindulatú webhelyek használatával a támadók nem csak Facebook-fiókokhoz, hanem más szolgáltatások fiókjaihoz is hozzáférhetnek, amelyek támogatják a „Bejelentkezés Facebookkal” funkciót. Jelenleg számos webes erőforrás támogatja ezt a funkciót. Miután hozzáfértek az áldozatok fiókjaihoz, a támadók üzeneteket küldhetnek, fiókadatokat szerkeszthetnek, és egyéb műveleteket hajthatnak végre a feltört fiókok tulajdonosai nevében.
A tudósítások szerint a kutató tavaly decemberben értesítette a Facebookot a felfedezett problémáról. A fejlesztők felismerték a sebezhetőséget, és azonnal kijavították. Januárban azonban Baykar talált egy megoldást, amely lehetővé tette számára, hogy hozzáférjen a hálózati felhasználói fiókokhoz. A Facebook később kijavította ezt a sebezhetőséget, a kutató pedig 55 000 dollár jutalmat kapott.
Forrás: 3dnews.ru