นักวิจัย Amol Baikar ซึ่งทำงานด้านการรักษาความปลอดภัยข้อมูล ได้เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่อายุสิบปีในโปรโตคอลการอนุญาต OAuth ที่ใช้โดยโซเชียลเน็ตเวิร์ก Facebook การใช้ประโยชน์จากช่องโหว่นี้ทำให้สามารถแฮ็กบัญชี Facebook ได้
ปัญหาดังกล่าวเกี่ยวข้องกับฟังก์ชัน “เข้าสู่ระบบด้วย Facebook” ซึ่งช่วยให้คุณสามารถเข้าสู่เว็บไซต์ต่างๆ โดยใช้บัญชี Facebook ของคุณได้ ในการแลกเปลี่ยนโทเค็นระหว่าง facebook.com และทรัพยากรของบุคคลที่สาม จะใช้โปรโตคอล OAuth 2.0 ซึ่งมีข้อบกพร่องที่ทำให้ผู้โจมตีสามารถสกัดกั้นโทเค็นการเข้าถึงเพื่อแฮ็กบัญชีผู้ใช้ได้ การใช้เว็บไซต์ที่เป็นอันตราย ผู้โจมตีสามารถเข้าถึงไม่เพียงแต่บัญชี Facebook เท่านั้น แต่ยังรวมถึงบัญชีของบริการอื่น ๆ ที่รองรับฟังก์ชัน “เข้าสู่ระบบด้วย Facebook” อีกด้วย ปัจจุบันแหล่งข้อมูลบนเว็บจำนวนมากรองรับฟังก์ชันนี้ หลังจากเข้าถึงบัญชีของเหยื่อแล้ว ผู้โจมตีสามารถส่งข้อความ แก้ไขข้อมูลบัญชี และดำเนินการอื่น ๆ ในนามของเจ้าของบัญชีที่ถูกแฮ็กได้
ตามรายงาน ผู้วิจัยได้แจ้ง Facebook เกี่ยวกับปัญหาที่พบเมื่อเดือนธันวาคมปีที่แล้ว นักพัฒนาตระหนักถึงการมีอยู่ของช่องโหว่และแก้ไขทันที อย่างไรก็ตาม ในเดือนมกราคม Baykar พบวิธีแก้ปัญหาที่ทำให้เขาสามารถเข้าถึงบัญชีผู้ใช้เครือข่ายได้ Facebook ได้แก้ไขช่องโหว่นี้ในภายหลัง และนักวิจัยได้รับรางวัลมูลค่า 55 ดอลลาร์
ที่มา: 3dnews.ru