Bilgi güvenliği alanında çalışan araştırmacı Amol Baikar, sosyal ağ Facebook'un kullandığı OAuth yetkilendirme protokolünde on yıllık bir güvenlik açığına ilişkin verileri yayınladı. Bu güvenlik açığından yararlanılması, Facebook hesaplarının hacklenmesini mümkün kıldı.
Bahsi geçen sorun, Facebook hesabınızı kullanarak farklı sitelere giriş yapmanızı sağlayan “Facebook ile Giriş Yap” fonksiyonu ile ilgilidir. Facebook.com ile üçüncü taraf kaynaklar arasında belirteç alışverişi yapmak için, saldırganların kullanıcı hesaplarını hacklemek amacıyla erişim belirteçlerini ele geçirmesine olanak tanıyan eksikliklere sahip OAuth 2.0 protokolü kullanılıyor. Saldırganlar, kötü amaçlı web sitelerini kullanarak yalnızca Facebook hesaplarına değil, aynı zamanda “Facebook ile Giriş Yap” işlevini destekleyen diğer hizmetlerin hesaplarına da erişim sağlayabilirler. Şu anda çok sayıda web kaynağı bu işlevi desteklemektedir. Saldırganlar, kurbanların hesaplarına erişim sağladıktan sonra saldırıya uğrayan hesapların sahipleri adına mesaj gönderebilir, hesap verilerini düzenleyebilir ve başka eylemler gerçekleştirebilir.
Raporlara göre araştırmacı, keşfedilen sorunu geçen yılın Aralık ayında Facebook'a bildirdi. Geliştiriciler güvenlik açığının varlığını fark etti ve hemen düzeltti. Ancak Ocak ayında Baykar, ağdaki kullanıcı hesaplarına erişmesine olanak tanıyan bir çözüm buldu. Facebook daha sonra bu güvenlik açığını düzeltti ve araştırmacıya 55 dolar ödül verildi.
Kaynak: 3dnews.ru