Новости Software

Около 10 лет существовала позволяющая взломать любой аккаунт Facebook уязвимость

Исследователь Амол Байкар (Amol Baikar), работающий в сфере информационной безопасности, обнародовал данные о существующей в течение десяти лет уязвимости в протоколе авторизации OAuth, используемом в социальной сети Facebook. Эксплуатация данной уязвимости позволяла осуществлять взлом аккаунтов Facebook.

Упомянутая проблема касается функции «Войти через Facebook», которая позволяет авторизоваться на разных веб-площадках с помощью учётной записи Facebook. Для обмена токенами между facebook.com и сторонними ресурсами применяется протокол OAuth 2.0, который имеет недостатки, позволявшие злоумышленникам перехватывать токены доступа для взлома пользовательских учётных записей. Используя вредоносные сайты, злоумышленники могли получить доступ не только к аккаунтам в Facebook, но и к учётным записям других сервисов, в которых поддерживается функция «Войти через Facebook». В настоящее время большое количество веб-ресурсов поддерживают эту функцию. После получения доступа к аккаунтам жертв злоумышленники могут отправлять сообщения, редактировать данные учётных записей, а также совершать другие действия от имени владельцев взломанных аккаунтов.  

Согласно имеющимся данным, исследователь уведомил Facebook об обнаруженной проблеме в декабре прошлого года. Разработчики признали наличие уязвимости и оперативно устранили её. Однако в январе Байкар нашёл обходной путь, позволяющий получить доступ к учётным записям пользователей сети. Позднее Facebook исправила и эту уязвимость, а исследователь получил вознаграждение в размере $55 000.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Первая распаковка фирменной салфетки Apple — новинка оказалась темнее, чем ожидалось 17 мин.
Apple выпустила iOS 14.8.1 для тех, кто не хочет обновляться до iOS 15 22 мин.
Перенос был не зря: сравнение трейлеров Halo Infinite демонстрирует значительное улучшение графики игры 2 ч.
Blizzard не станет проводить BlizzConline 2022, но без анонсов игроков не оставит 2 ч.
Гибель человечества неминуема: Xbox выпустила трейлер Halo Infinite с монологом главного злодея 2 ч.
Одной из премьер завтрашнего выпуска State of Play станет инди-долгострой Little Devil Inside 3 ч.
Роскомнадзор причислил Telegram и LiveJournal к социальным сетям 3 ч.
Премьеру Marvel’s Guardians of the Galaxy на ПК и консолях отметили объяснительным роликом 4 ч.
Telegram представил собственную рекламную платформу — минимальный бюджет равен 2 млн евро 4 ч.
Видео: основные сюжетные, геймплейные и технические особенности в новом трейлере тактической ролевой игры Triangle Strategy 4 ч.
Выяснилось, как будет выглядеть продвинутая VR-гарнитура Oculus Quest Pro — её могут представить уже на этой неделе 31 мин.
Intel прекратит производство более 30 контроллеров и карт Ethernet из-за дефицита чипов 48 мин.
Сенат США обвинил Seagate в поставках жёстких дисков китайской Huawei, несмотря на санкции 2 ч.
Материнские платы Gigabyte для Alder Lake отметились в американской рознице по цене от $200 2 ч.
Microsoft разрабатывает доступный ноутбук Surface с урезанной Windows 11, который составит конкуренцию хромбукам 2 ч.
Verizon будет использовать спутники Amazon Kuiper для обеспечения интернетом некоторых абонентов 2 ч.
TSMC представила технологию N4P — третий уровень улучшения 5-нм техпроцесса 3 ч.
Samsung снова намекнула на подготовку Galaxy S21 FE — на сайтах компании появились страницы поддержки смартфона 3 ч.
Sony представила Xperia View VR — VR-гарнитуру для смартфонов Xperia за $260 4 ч.
Популярность GaN-зарядок очень быстро растёт — к 2025 году они займут больше половины рынка 5 ч.