Amol Baikar, badacz bezpieczeństwa, ujawnił dziesięcioletnią lukę w protokole uwierzytelniania OAuth używanym przez Facebooka. Wykorzystanie tej luki umożliwiło hakowanie kont na Facebooku.
Problem dotyczy funkcji „Zaloguj się za pomocą Facebooka”, która umożliwia logowanie się do różnych witryn internetowych za pomocą konta na Facebooku. Protokół OAuth 2.0 jest używany do wymiany tokenów między facebook.com a zasobami stron trzecich, który ma wady, które pozwalają atakującym przechwytywać tokeny dostępu w celu hakowania kont użytkowników. Korzystając ze złośliwych witryn, atakujący mogą uzyskać dostęp nie tylko do kont na Facebooku, ale także do kont innych usług, które obsługują funkcję „Zaloguj się za pomocą Facebooka”. Obecnie duża liczba zasobów internetowych obsługuje tę funkcję. Po uzyskaniu dostępu do kont ofiar, atakujący mogą wysyłać wiadomości, edytować dane kont i wykonywać inne czynności w imieniu właścicieli zhakowanych kont.
Według dostępnych danych badacz powiadomił Facebooka o problemie, który odkrył w grudniu ubiegłego roku. Deweloperzy przyznali się do luki i szybko ją naprawili. Jednak w styczniu Baykar znalazł obejście, które pozwoliło mu uzyskać dostęp do kont użytkowników sieci. Facebook później naprawił również tę lukę, a badacz otrzymał nagrodę w wysokości 55 000 USD.
Źródło: 3dnews.ru
