Orange
Мастер слова
- Регистрация
- 7 Окт 2017
- Сообщения
- 8,672
- Реакции
- 1,320
Амол Байкар, авторитетный исследователь в сфере безопасности, выявил наличие критической уязвимости в протоколе авторизации OAuth социальной сети Facebook. Отмечается существование подобной уязвимости на протяжении порядка 10 лет. При использовании подобной уязвимости злоумышленники получают непосредственную возможность взлома любого аккаунта социальной сети.
У злоумышленника после удачного использования появляется возможность публикации новостей в ленте, отправок сообщений, изменений данных аккаунта, удаления сообщений и прочих действий. Преступник может перехватить контроль и прочих учетных записей.
Автор в сфере безопасности уже сообщил социальной сети про существующую уязвимость. В рамках поддержки стороннего тестирования и помощи в развитии проекта, руководство Facebook уже подтвердило выплату исследователю вознаграждения в размере 55 тысяч долларов.
Сохраняется риск перехвата трафика
Проблему содержит функция «Войти через Facebook», для которой задействован протокол авторизации OAuth 2.0, обеспечивающий обмен социальной сети и прочих сайтов. При этом у злоумышленника есть возможность дистанционной настройки специального сайта по перехвату трафика, с хищением токенов авторизации для доступа к учетным записям конкретных пользователей социальной сети.
У злоумышленника после удачного использования появляется возможность публикации новостей в ленте, отправок сообщений, изменений данных аккаунта, удаления сообщений и прочих действий. Преступник может перехватить контроль и прочих учетных записей.
Старания полностью компенсировались крупным вознаграждением от Facebook
Автор в сфере безопасности уже сообщил социальной сети про существующую уязвимость. В рамках поддержки стороннего тестирования и помощи в развитии проекта, руководство Facebook уже подтвердило выплату исследователю вознаграждения в размере 55 тысяч долларов.