Pētnieks Amols Baikars, kurš strādā informācijas drošības jomā, publicējis datus par desmit gadus vecu ievainojamību sociālā tīkla Facebook izmantotajā OAuth autorizācijas protokolā. Šīs ievainojamības izmantošana ļāva uzlauzt Facebook kontus.
Minētā problēma attiecas uz funkciju “Pieteikties ar Facebook”, kas ļauj pieteikties dažādās tīmekļa vietnēs, izmantojot savu Facebook kontu. Lai apmainītos ar marķieriem starp facebook.com un trešo pušu resursiem, tiek izmantots OAuth 2.0 protokols, kuram ir trūkumi, kas ļāva uzbrucējiem pārtvert piekļuves marķierus, lai uzlauztu lietotāju kontus. Izmantojot ļaunprātīgas vietnes, uzbrucēji var piekļūt ne tikai Facebook kontiem, bet arī citu pakalpojumu kontiem, kas atbalsta funkciju “Pieteikties ar Facebook”. Pašlaik šo funkciju atbalsta liels skaits tīmekļa resursu. Pēc piekļuves upuru kontiem uzbrucēji var sūtīt ziņojumus, rediģēt konta datus un veikt citas darbības uzlauzto kontu īpašnieku vārdā.
Kā ziņots, pētnieks par atklāto problēmu Facebook paziņoja pagājušā gada decembrī. Izstrādātāji atpazina ievainojamības esamību un nekavējoties to novērsa. Tomēr janvārī Baykar atrada risinājumu, kas ļāva viņam piekļūt tīkla lietotāju kontiem. Facebook vēlāk izlaboja šo ievainojamību, un pētnieks saņēma atlīdzību 55 000 USD apmērā.
Avots: 3dnews.ru