Peneliti Amol Baikar, yang bekerja di bidang keamanan informasi, telah menerbitkan data tentang kerentanan sepuluh tahun dalam protokol otorisasi OAuth yang digunakan oleh jejaring sosial Facebook. Eksploitasi kerentanan ini memungkinkan peretasan akun Facebook.
Masalah yang disebutkan berkaitan dengan fungsi “Masuk dengan Facebook”, yang memungkinkan Anda masuk ke situs web berbeda menggunakan akun Facebook Anda. Untuk bertukar token antara facebook.com dan sumber pihak ketiga, protokol OAuth 2.0 digunakan, yang memiliki kekurangan yang memungkinkan penyerang mencegat token akses untuk meretas akun pengguna. Dengan menggunakan situs web jahat, penyerang dapat memperoleh akses tidak hanya ke akun Facebook, tetapi juga ke akun layanan lain yang mendukung fungsi “Masuk dengan Facebook”. Saat ini, sejumlah besar sumber daya web mendukung fungsi ini. Setelah mendapatkan akses ke akun korban, penyerang dapat mengirim pesan, mengedit data akun, dan melakukan tindakan lain atas nama pemilik akun yang diretas.
Menurut laporan, peneliti memberi tahu Facebook tentang masalah yang ditemukan pada bulan Desember tahun lalu. Pengembang menyadari adanya kerentanan dan segera memperbaikinya. Namun, pada bulan Januari, Baykar menemukan solusi yang memungkinkan dia mendapatkan akses ke akun pengguna jaringan. Facebook kemudian memperbaiki kerentanan ini, dan peneliti menerima hadiah sebesar $55.
Sumber: 3dnews.ru