Badacz Amol Baikar, zajmujący się bezpieczeństwem informacji, opublikował dane dotyczące istniejącej od dziesięciu lat luki w protokole autoryzacji OAuth, używanym przez portal społecznościowy Facebook. Wykorzystanie tej luki umożliwiło włamanie się do kont na Facebooku.
Wspomniany problem dotyczy funkcji „Zaloguj się przez Facebook”, która umożliwia logowanie się do różnych stron internetowych przy użyciu konta na Facebooku. Do wymiany tokenów pomiędzy facebook.com a zasobami stron trzecich wykorzystywany jest protokół OAuth 2.0, który ma wady, które umożliwiły atakującym przechwycenie tokenów dostępu w celu włamania się na konta użytkowników. Wykorzystując złośliwe strony internetowe, osoby atakujące mogą uzyskać dostęp nie tylko do kont na Facebooku, ale także do kont innych serwisów obsługujących funkcję „Zaloguj się przez Facebook”. Obecnie duża liczba zasobów internetowych obsługuje tę funkcję. Po uzyskaniu dostępu do kont ofiar napastnicy mogą wysyłać wiadomości, edytować dane konta i wykonywać inne działania w imieniu właścicieli zhakowanych kont.
Z doniesień wynika, że badacz powiadomił Facebooka o wykrytym problemie w grudniu ubiegłego roku. Twórcy zauważyli istnienie luki i natychmiast ją naprawili. Jednak w styczniu Baykar znalazł obejście, które pozwoliło mu uzyskać dostęp do kont użytkowników sieci. Facebook naprawił później tę lukę, a badacz otrzymał nagrodę w wysokości 55 000 dolarów.
Źródło: 3dnews.ru