Вразливість у протоколі авторизації OAuth дозволяє зламати будь-який обліковий запис у Facebook
Уразливість у протоколі авторизації OAuth дозволяє зламати будь-який обліковий запис у Facebook
Дослідник безпеки виявив критичну вразливість у протоколі авторизації OAuth соціальної мережі Facebook. Вразливість існує близько 10 років, і її експлуатація дозволяє зловмисникам зламати будь-який обліковий запис у Facebook.
Проблема міститься у функції «Увійти через Facebook» («Login with Facebook»), яка використовує протокол авторизації OAuth 2.0 для обміну токенами між соцмережею та іншими веб-сайтами.
Видалений злочинець може налаштувати шкідливий веб-сайт для перехоплення трафіку OAuth і викрасти токени авторизації, що надають доступ до облікових записів цільових користувачів Facebook.
Після успішної експлуатації вразливості зловмисник може надсилати повідомлення, публікувати щось у стрічці, змінювати дані облікової записи, видаляти повідомлення та багато іншого від імені жертви. Злочинець може перехопити контроль над іншими обліковими записами, включаючи Instagram, Oculus, а також Netflix, Tinder, Spotify та ін.
Користувачам Facebook рекомендується змінити пароль для облікового запису в соцмережі та вийти з облікових записів на всіх пристроях.
Дослідник безпеки повідомив Facebook про виявлену вразливість, і компанія виплатила досліднику винагороду у розмірі $55 тис.
