Дослідник Амол Байкар (Amol Baikar), який працює у сфері інформаційної безпеки, оприлюднив дані про існуючу протягом десяти років вразливість у протоколі авторизації OAuth, який використовується в соціальній мережі Facebook. Експлуатація даної вразливості дозволяла здійснювати зламування акаунтів Facebook.
Ця проблема стосується функції «Увійти через Facebook», яка дозволяє авторизуватися на різних веб-майданчиках за допомогою облікового запису Facebook. Для обміну токенами між facebook.com та сторонніми ресурсами застосовується протокол OAuth 2.0, який має недоліки, що дозволяли зловмисникам перехоплювати токени доступу для злому власних облікових записів. Використовуючи шкідливі сайти, зловмисники могли отримати доступ не тільки до облікових записів у Facebook, але й до облікових записів інших сервісів, в яких підтримується функція «Увійти через Facebook». В даний час велика кількість веб-ресурсів підтримує цю функцію. Після отримання доступу до облікових записів жертв зловмисники можуть надсилати повідомлення, редагувати дані облікових записів, а також здійснювати інші дії від імені власників зламаних облікових записів.
Згідно з наявними даними, дослідник повідомив Facebook про виявлену проблему у грудні минулого року. Розробники визнали наявність уразливості та оперативно усунули її. Однак у січні Байкар знайшов обхідний шлях, що дозволяє отримати доступ до облікових записів користувачів мережі. Пізніше Facebook виправила цю вразливість, а дослідник отримав винагороду в розмірі $55 000.
Джерело: 3dnews.ru