Близько 10 років існувала уразливість, яка дозволяла зламати будь-який аккаунт Facebook

Дослідник Амол Байкар( Amol Baikar), що працює в сфері інформаційної безпеки, оприлюднив дані про існуючу протягом десяти років уразливість в протоколі авторизації OAuth, використовуваному в соціальній мережі Facebook. Експлуатація даної уразливості дозволяла здійснювати злом акаунтів Facebook.

Згадана проблема стосується функції “Увійти через Facebook”, яка дозволяє авторизуватися на різних веб-майданчиках за допомогою облікового запису Facebook. Для обміну токенами між facebook.com і сторонніми ресурсами застосовується протокол OAuth 2.0, який має недоліки, що дозволяли зловмисникам перехоплювати токени доступу для злому призначених для користувача облікових записів. Використовуючи Facebook, зловмисники могли отримати доступ не тільки до облікових записів у Facebook, але й до облікових записів інших сервісів, в яких підтримується функція “Увійти через Facebook”. В даний час велика кількість веб-ресурсів підтримують цю функцію. Після отримання доступу до акаунтів жертв зловмисники можуть відправляти повідомлення, редагувати дані облікових записів, а також здійснювати інші дії від імені власників зламаних акаунтів.

Згідно з наявними даними, дослідник повідомив Facebook про виявлену проблему в грудні минулого року. Розробники визнали наявність уразливості і оперативно усунули її. Однак у січні Байкар знайшов обхідний шлях, що дозволяє отримати доступ до облікових записів користувачів мережі. Пізніше Facebook виправила і цю вразливість, а дослідник отримав винагороду в розмірі $55 000.