На протяжении 10 лет была дырка для взлома любого профиля Facebook

Просмотров

Энтузиаст Амол Байкар, трудящийся в области информационной защиты, дал сведения о имеющийся десять лет «дырочки» в протоколе авторизации OAuth, применяемом на соцплощадке Facebook. Использование этой лазейки позволяло ломать профили Facebook.

В чем заключалась проблема?

Затронутая ситуация касается опционала «Войти через Facebook». Она дает шанс залогиниться на различных веб-ресурсах, используя учетку «Фейсбука». Чтобы обменяться токенами между официальной страничкой сети и посторонними сайтами, применим протокол OAuth 2.0.У него есть лазейки, дающие преступникам шанс перехватывать токены доступа для хака пользовательских учётных данных.

Применив вредоносные ресурсы, мошенники смогли открыть доступ не к одним аккаунтам в Фейсбук. Также страдали учетки иных сервисов, где есть опция «Войти через Facebook». Сейчас огромное число веб-страничек имеют данный опционал. Когда доступ к аккаунтам пострадавших свободен, мошенники смогут посылать месседжи, корректировать информацию учётных записей. В общем, делать различные вредные действия от имени хозяев профилей. Самое неприятное, что от лица порядочных пользователей могут слать гадости.  

О ситуации знали еще в декабре  

По имеющимся сведениям, специалист рассказал Facebook  о существующей проблеме в конце минувшего года. Девелоперы признали  имеющуюся уязвимость и быстренько убрали её. Но в начале этого года Байкар отыскал обходную дорогу. Она дает возможность заполучить доступ к учётным данным юзеров сети. Позже Facebook поправила и эту лазеечку. Наградив исследователя денежным призом в цифрах 55 тыс. долларов Американских.

Молодец исследователь. Рассказал о такой важной уязвимости и получил заслуженное денежное вознаграждение. Внимательнее нужно быть разработчикам описанной социальной сети. Дальше не допускать таких серьезных прорех в безопасности. Завладеть профилем пользователей социальной площадки, настоящее преступление. Тем более преступники в большинстве своем люди весьма недобрых намерений.  

Оставить комментарий

  Подписаться  
Уведомление о