Маалыматтык коопсуздук тармагында иштеген изилдөөчү Амоль Байкар Facebook социалдык тармагы колдонгон OAuth авторизациялоо протоколундагы он жылдык алсыздык тууралуу маалыматтарды жарыялады. Бул алсыздыкты пайдалануу Facebook аккаунттарын бузуп алууга мүмкүндүк берди.
Белгиленген көйгөй сиздин Facebook аккаунтуңуз аркылуу ар кандай веб-сайттарга кирүүгө мүмкүндүк берген “Facebook менен кирүү” функциясына тиешелүү. facebook.com менен үчүнчү тараптын ресурстарынын ортосунда токендерди алмашуу үчүн OAuth 2.0 протоколу колдонулат, анын кемчиликтери чабуулчуларга колдонуучу аккаунттарын бузуп алуу үчүн кирүү токендерин кармоого мүмкүндүк берген. Зыяндуу веб-сайттарды колдонуп, чабуулчулар Facebook аккаунттарына гана эмес, ошондой эле “Facebook менен кирүү” функциясын колдогон башка кызматтардын аккаунттарына да кире алышат. Учурда көптөгөн веб-ресурстар бул функцияны колдойт. Жабырлануучулардын аккаунттарына кирүү мүмкүнчүлүгүнө ээ болгондон кийин, чабуулчулар хакерленген аккаунттардын ээлеринин атынан билдирүүлөрдү жөнөтө, каттоо эсебинин маалыматтарын түзөтүп жана башка аракеттерди жасай алышат.
Маалыматтарга караганда, изилдөөчү Facebookка табылган көйгөй тууралуу былтыр декабрда кабарлаган. Иштеп чыгуучулар алсыздыктын бар экенин моюнга алып, аны тез арада оңдоп коюшкан. Бирок, январь айында Байкар ага тармактык колдонуучулардын аккаунттарына кирүү мүмкүнчүлүгүн берген чечүүчү жолду тапкан. Кийинчерээк Facebook бул кемчиликти оңдоп, изилдөөчү 55 миң доллар сыйлык алды.
Source: 3dnews.ru