O pesquisador Amol Baikar, que atua na área de segurança da informação, publicou dados sobre uma vulnerabilidade de dez anos no protocolo de autorização OAuth usado pela rede social Facebook. A exploração desta vulnerabilidade tornou possível hackear contas do Facebook.
O problema mencionado diz respeito à função “Login com Facebook”, que permite fazer login em diferentes sites usando sua conta do Facebook. Para trocar tokens entre o facebook.com e recursos de terceiros, é utilizado o protocolo OAuth 2.0, que possui deficiências que permitiram que invasores interceptassem tokens de acesso para hackear contas de usuários. Usando sites maliciosos, os invasores podem obter acesso não apenas às contas do Facebook, mas também às contas de outros serviços que suportam a função “Login com Facebook”. Atualmente, um grande número de recursos da web suportam esta função. Depois de obter acesso às contas das vítimas, os invasores podem enviar mensagens, editar dados da conta e realizar outras ações em nome dos proprietários das contas hackeadas.
Segundo relatos, o pesquisador notificou o Facebook sobre o problema descoberto em dezembro do ano passado. Os desenvolvedores reconheceram a existência da vulnerabilidade e a corrigiram imediatamente. No entanto, em janeiro, Baykar encontrou uma solução alternativa que lhe permitiu obter acesso a contas de usuários da rede. Posteriormente, o Facebook corrigiu essa vulnerabilidade e o pesquisador recebeu uma recompensa de US$ 55 mil.
Fonte: 3dnews.ru