Informacijos saugumo srityje dirbantis mokslininkas Amolas Baikaras paskelbė duomenis apie dešimties metų senumo socialinio tinklo „Facebook“ naudojamo „OAuth“ autorizacijos protokolo pažeidžiamumą. Šio pažeidžiamumo išnaudojimas leido įsilaužti į „Facebook“ paskyras.
Minėta problema yra susijusi su funkcija „Prisijungti naudojant Facebook“, kuri leidžia prisijungti prie skirtingų svetainių naudojant „Facebook“ paskyrą. Norint keistis žetonais tarp facebook.com ir trečiųjų šalių išteklių, naudojamas OAuth 2.0 protokolas, kuris turi trūkumų, leidžiančių užpuolikams perimti prieigos žetonus, kad galėtų nulaužti vartotojų paskyras. Naudodamiesi kenkėjiškomis svetainėmis, užpuolikai gali pasiekti ne tik „Facebook“ paskyras, bet ir kitų paslaugų, palaikančių funkciją „Prisijungti naudojant Facebook“, paskyrų. Šiuo metu daugelis žiniatinklio išteklių palaiko šią funkciją. Gavęs prieigą prie aukų paskyrų, užpuolikai gali siųsti pranešimus, redaguoti paskyros duomenis ir atlikti kitus veiksmus įsilaužtų paskyrų savininkų vardu.
Remiantis pranešimais, mokslininkas apie aptiktą problemą „Facebook“ pranešė praėjusių metų gruodį. Kūrėjai pripažino pažeidžiamumą ir nedelsdami jį ištaisė. Tačiau sausį Baykaras rado sprendimą, kuris leido jam gauti prieigą prie tinklo vartotojų paskyrų. Vėliau „Facebook“ ištaisė šį pažeidžiamumą, o mokslininkas gavo 55 000 USD atlygį.
Šaltinis: 3dnews.ru
