Около 10 лет существовала позволяющая взломать любой аккаунт Facebook уязвимость
Исследователь Амол Байкар (Amol Baikar), работающий в сфере информационной безопасности, обнародовал данные о существующей в течение десяти лет уязвимости в протоколе авторизации OAuth, используемом в социальной сети Facebook. Эксплуатация данной уязвимости позволяла осуществлять взлом аккаунтов Facebook.
Упомянутая проблема касается функции «Войти через Facebook», которая позволяет авторизоваться на разных веб-площадках с помощью учетной записи Facebook. Для обмена токенами между facebook.com и сторонними ресурсами применяется протокол OAuth 2.0, который имеет недостатки, позволявшие злоумышленникам перехватывать токены доступа для взлома пользовательских учетных записей. Используя вредоносные сайты, злоумышленники могли получить доступ не только к аккаунтам в Facebook, но и к учетным записям других сервисов, в которых поддерживается функция «Войти через Facebook». В настоящее время большое количество веб-ресурсов поддерживают эту функцию. После получения доступа к аккаунтам жертв злоумышленники могут отправлять сообщения, редактировать данные учетных записей, а также совершать другие действия от имени владельцев взломанных аккаунтов.
Согласно имеющимся данным, исследователь уведомил Facebook об обнаруженной проблеме в декабре прошлого года. Разработчики признали наличие уязвимости и оперативно устранили ее. Однако в январе Байкар нашел обходной путь, позволяющий получить доступ к учетным записям пользователей сети. Позднее Facebook исправила и эту уязвимость, а исследователь получил вознаграждение в размере $55 000.