Амол Байкар нашёл в американской социальной сети Facebook брешь в системе безопасности, при помощи которой можно взломать любой аккаунт. Более того, по словам специалиста, эта критическая уязвимость существует уже около 10 лет. Об этом сообщает «Популярная механика».
Проблема заключается в работе функции входа через Facebook с использованием протокола авторизации OAuth 2.0. «Войти через Facebook» часто используется для обмена данными профиля между социальной сетью и различными сайтами.
Таким образом аккаунт становится универсальным средством входа и может применяться на других сервисах без дополнительной регистрации.
Однако Байкар выяснил, что хакеры могут удалённо настроить вредоносный сайт для перехвата трафика с целью похитить данные авторизации. В них в том числе содержится доступ к учётным записям пользователей Facebook. После этого злоумышленники могут отправлять сообщения и делать публикации от лица взломанного пользователя, а также изменять данные его учётной записи.
Кроме того, это открывает хакерам возможность попытаться получить управление и над профилями Instagram, Tinder, а также других приложений, где работает система входа через профиль Facebook.
Байкар сообщил компании об обнаруженной уязвимости, после чего в Facebook подтвердили факт её наличия и, по словам разработчиков, уже исправили её. Социальная сеть также выплатила специалисту по кибербезопасности вознаграждение в размере 55 тысяч долларов.
