Rannsakandi Amol Baikar, sem starfar á sviði upplýsingaöryggis, hefur birt gögn um tíu ára gamlan varnarleysi í OAuth-heimildarsamskiptareglunum sem samfélagsmiðillinn Facebook notar. Nýting þessa varnarleysis gerði það mögulegt að hakka Facebook reikninga.
Nefnt vandamál varðar „Innskráning með Facebook“ aðgerðinni, sem gerir þér kleift að skrá þig inn á mismunandi vefsíður með Facebook reikningnum þínum. Til að skiptast á táknum á milli facebook.com og auðlinda þriðja aðila er OAuth 2.0 samskiptareglan notuð, sem hefur annmarka sem gerðu árásarmönnum kleift að stöðva aðgangslykil til að hakka notendareikninga. Með því að nota skaðlegar vefsíður gætu árásarmenn ekki aðeins fengið aðgang að Facebook reikningum, heldur einnig að reikningum annarra þjónustu sem styðja „Innskráning með Facebook“ aðgerðinni. Eins og er styður mikill fjöldi vefauðlinda þessa aðgerð. Eftir að hafa fengið aðgang að reikningum fórnarlambanna geta árásarmenn sent skilaboð, breytt reikningsgögnum og framkvæmt aðrar aðgerðir fyrir hönd eigenda tölvuþrjóta reikninganna.
Samkvæmt fréttum tilkynnti rannsakandinn Facebook um vandamálið sem uppgötvaðist í desember á síðasta ári. Hönnuðir viðurkenndu tilvist veikleikans og lagfærðu það strax. Hins vegar, í janúar, fann Baykar lausn sem gerði honum kleift að fá aðgang að netnotendareikningum. Facebook lagaði síðar þennan varnarleysi og rannsakandinn fékk $55 í verðlaun.
Heimild: 3dnews.ru