Un cercetător a descoperit o vulnerabilitate critică în sistemul Facebook, privind posibilitatea de preluare a controlului asupra contului de utilizator, prin funcționalitatea de autorizare a aplicațiilor cu Facebook („Conectează-te cu Facebook”), care a permis hackerilor să fure credențialele de acces și să intre în conturi.
Folosind protocolul „Auth 2.0”, Facebook permite schimbul de token de acces cu aplicații terțe pentru conectarea pe alte platforme sau aplicații.
Vulnerabilitatea a constat în funcționalitatea „Conectează-te cu Facebook”, prin care atacatorii au creat un website care a captat și a furat tokenul de acces pentru mai multe aplicații, printre care și Instagram, Oculus, Netflix, Tinder, Spotify, alături de conturile propriu-zise de Facebook.
Odată obținut tokenul de acces, atacatorul poate compromite contul și obține privilegii depline de citire și scriere, chiar dacă setările de confidențialitate sunt setate pe „numai eu” (only me).
Cercetătorul indian Amol Baikar, cel care a identificat breșa de securitate, a declarat pentru GBHackers on Security: „Această vulnerabilitate critică permite preluarea de conturi, inclusiv Facebook, Instagram și Oculus. În același timp, prin acest atac se poate obține acces la site-uri terțe precum Netflix, Tinder, Spotify, unde este implementată autentificarea cu Facebook”.
Sursă articol și foto: gbhackers.com
