Проблема содержится в функции входа через Facebook, использующей протокол авторизации OAuth 2.0.
Исследователь безопасности Амол Байкаркритическую уязвимость в протоколе авторизации OAuth социальной сети Facebook. Уязвимость существует около 10 лет, и ее эксплуатация позволяет злоумышленникам взломать любую учетную запись в Facebook.
Проблема содержится в функции «Войти через Facebook» («Login with Facebook»), использующей протокол авторизации OAuth 2.0 для обмена токенами между соцсетью и другими web-сайтами.
Удаленный преступник может настроить вредоносный web-сайт для перехвата трафика OAuth и похитить токены авторизации, предоставляющие доступ к учетным записям целевых пользователей Facebook.
После успешной эксплуатации уязвимости злоумышленник может отправлять сообщения, публиковать что-либо в ленте, изменять данные учетной записи, удалять сообщения и многое другое от имени жертвы. Преступник может перехватить контроль над другими учетными записями, включая Instagram, Oculus, а также Netflix, Tinder, Spotify и пр.
Пользователям Facebook рекомендуется сменить пароль для учетной записи в соцсети и выйти из аккаунтов на всех устройствах.
Байкар сообщил Facebook об обнаруженной уязвимости, и компания выплатила исследователю вознаграждение в размере $55 тыс.
ВИДОС: