Ang mananaliksik na si Amol Bakar, na nagtatrabaho sa larangan ng seguridad ng impormasyon, ay nag-publish ng data sa isang sampung taong gulang na kahinaan sa protocol ng awtorisasyon ng OAuth na ginagamit ng social network na Facebook. Ang pagsasamantala sa kahinaang ito ay naging posible upang ma-hack ang mga Facebook account.
Ang nabanggit na problema ay may kinalaman sa "Login with Facebook" function, na nagbibigay-daan sa iyong mag-log in sa iba't ibang web site gamit ang iyong Facebook account. Upang makipagpalitan ng mga token sa pagitan ng facebook.com at mga mapagkukunan ng third-party, ginagamit ang protocol ng OAuth 2.0, na may mga pagkukulang na nagbigay-daan sa mga umaatake na humarang ng mga token ng pag-access upang i-hack ang mga user account. Gamit ang mga nakakahamak na website, ang mga umaatake ay maaaring makakuha ng access hindi lamang sa mga Facebook account, kundi pati na rin sa mga account ng iba pang mga serbisyo na sumusuporta sa "Login with Facebook" function. Sa kasalukuyan, maraming mga mapagkukunan ng web ang sumusuporta sa function na ito. Pagkatapos magkaroon ng access sa mga account ng mga biktima, maaaring magpadala ang mga attacker ng mga mensahe, mag-edit ng data ng account, at magsagawa ng iba pang mga aksyon sa ngalan ng mga may-ari ng mga na-hack na account.
Ayon sa mga ulat, inabisuhan ng mananaliksik ang Facebook tungkol sa natuklasang problema noong Disyembre noong nakaraang taon. Kinilala ng mga developer ang pagkakaroon ng kahinaan at agad itong naayos. Gayunpaman, noong Enero, nakahanap si Baykar ng workaround na nagpapahintulot sa kanya na magkaroon ng access sa mga network user account. Kalaunan ay inayos ng Facebook ang kahinaan na ito, at nakatanggap ang mananaliksik ng gantimpala na $55.
Pinagmulan: 3dnews.ru