Onderzoeker Amol Baikar, werkzaam op het gebied van informatiebeveiliging, heeft gegevens gepubliceerd over een tien jaar oude kwetsbaarheid in het OAuth-autorisatieprotocol dat wordt gebruikt door het sociale netwerk Facebook. Door misbruik van deze kwetsbaarheid werd het mogelijk om Facebook-accounts te hacken.
Het genoemde probleem betreft de functie “Inloggen met Facebook”, waarmee u met uw Facebook-account op verschillende websites kunt inloggen. Om tokens uit te wisselen tussen facebook.com en bronnen van derden wordt het OAuth 2.0-protocol gebruikt, dat tekortkomingen vertoont waardoor aanvallers toegangstokens konden onderscheppen om gebruikersaccounts te hacken. Met behulp van kwaadaardige websites kunnen aanvallers niet alleen toegang krijgen tot Facebook-accounts, maar ook tot accounts van andere diensten die de functie ‘Inloggen met Facebook’ ondersteunen. Momenteel ondersteunen een groot aantal webbronnen deze functie. Nadat aanvallers toegang hebben gekregen tot de accounts van slachtoffers, kunnen ze berichten verzenden, accountgegevens bewerken en andere acties uitvoeren namens de eigenaren van de gehackte accounts.
Volgens berichten heeft de onderzoeker Facebook in december vorig jaar op de hoogte gebracht van het ontdekte probleem. De ontwikkelaars herkenden het bestaan van de kwetsbaarheid en hebben deze onmiddellijk verholpen. In januari vond Baykar echter een oplossing waardoor hij toegang kon krijgen tot netwerkgebruikersaccounts. Facebook repareerde dit beveiligingslek later en de onderzoeker ontving een beloning van $ 55.
Bron: 3dnews.ru