Мэдээллийн аюулгүй байдлын чиглэлээр ажилладаг судлаач Амол Байкар Фэйсбүүк олон нийтийн сүлжээний ашигладаг OAuth зөвшөөрлийн протоколд арван жилийн өмнө үүссэн эмзэг байдлын талаарх мэдээллийг нийтэлжээ. Энэхүү эмзэг байдлыг ашигласнаар Facebook хаягийг хакердах боломжтой болсон.
Энэ асуудал нь "Facebook-ээр нэвтрэх" функцтэй холбоотой бөгөөд энэ нь танд Facebook дансаа ашиглан өөр өөр вэб сайт руу нэвтрэх боломжийг олгодог. Facebook.com болон гуравдагч талын эх сурвалжуудын хооронд жетон солилцохын тулд OAuth 2.0 протоколыг ашигладаг бөгөөд энэ нь халдагчид хэрэглэгчийн бүртгэлийг хакердах хандалтын жетонуудыг таслан зогсоох боломжийг олгосон дутагдалтай талуудтай. Хорлонтой вэбсайтуудыг ашигласнаар халдагчид зөвхөн Facebook хаягууд руу нэвтрэхээс гадна "Facebook-ээр нэвтрэх" функцийг дэмждэг бусад үйлчилгээний данс руу нэвтэрч болно. Одоогийн байдлаар олон тооны вэб нөөцүүд энэ функцийг дэмждэг. Халдагчид хохирогчдын бүртгэлд нэвтэрсний дараа хакердсан акаунтын эзэмшигчдийн өмнөөс мессеж илгээх, дансны өгөгдлийг засах болон бусад үйлдлүүдийг хийх боломжтой.
Мэдээллийн дагуу судлаач өнгөрсөн оны арванхоёрдугаар сард илрүүлсэн асуудлын талаар Facebook-т мэдэгдсэн байна. Хөгжүүлэгчид эмзэг байдал байгаа гэдгийг хүлээн зөвшөөрч, нэн даруй зассан. Гэсэн хэдий ч 55-р сард Байкар сүлжээний хэрэглэгчийн бүртгэлд нэвтрэх боломжийг олгосон тойрон гарах арга замыг олсон. Дараа нь Facebook энэ эмзэг байдлыг засч, судлаач 000 долларын шагнал хүртжээ.
Эх сурвалж: 3dnews.ru