Ақпараттық қауіпсіздік саласында жұмыс істейтін зерттеуші Амоль Байкар Facebook әлеуметтік желісі пайдаланатын OAuth авторизация хаттамасындағы он жылдық осалдық туралы деректерді жариялады. Бұл осалдықты пайдалану Facebook тіркелгілерін бұзуға мүмкіндік берді.
Аталған мәселе Facebook тіркелгісі арқылы әртүрлі веб-сайттарға кіруге мүмкіндік беретін «Facebook арқылы кіру» функциясына қатысты. facebook.com және үшінші тарап ресурстары арасында таңбалауыштарды алмасу үшін OAuth 2.0 протоколы пайдаланылады, оның кемшіліктері шабуылдаушыларға пайдаланушы тіркелгілерін бұзу үшін кіру таңбалауыштарын ұстауға мүмкіндік берді. Зиянды веб-сайттарды пайдалана отырып, шабуылдаушылар тек Facebook тіркелгілеріне ғана емес, сонымен қатар «Facebook арқылы кіру» функциясын қолдайтын басқа қызметтердің тіркелгілеріне де қол жеткізе алады. Қазіргі уақытта көптеген веб-ресурстар бұл функцияны қолдайды. Зардап шеккендердің тіркелгілеріне қол жеткізгеннен кейін, шабуылдаушылар бұзылған тіркелгілердің иелері атынан хабарламалар жібере алады, тіркелгі деректерін өңдей алады және басқа әрекеттерді орындай алады.
Мәліметтерге сәйкес, зерттеуші Facebook-ке өткен жылдың желтоқсан айында анықталған проблема туралы хабарлаған. Әзірлеушілер осалдықтың бар екенін мойындады және оны дереу түзетеді. Дегенмен, қаңтарда Байкар желілік пайдаланушы тіркелгілеріне қол жеткізуге мүмкіндік беретін уақытша шешім тапты. Кейінірек Facebook бұл осалдықты түзетіп, зерттеуші 55 000 доллар сыйақы алды.
Ақпарат көзі: 3dnews.ru