Facebook: poznajcie sposób na przejęcie każdego konta!

Nir Goldshlager, specjalista bezpieczeństwa informacji w firmie Avnet, przedstawił na swoim blogu sposób pozwalający na dostanie się do dowolnego konta na Facebooku.

W styczniu Facebook padł ofiarą ataku hakerów, którzy jednak podobno nie wykradli żadnych danych użytkowników. Z pewnością nie powinni oni jednak czuć się bezpiecznie (wierzycie w zapewnienia Facebooka?), tym bardziej po lekturze ostatniego wpisu na blogu Nira Goldshlagera, specjalisty bezpieczeństwa informacji w firmie Avnet.

Otóż opisał on tam dokładnie sposób, dzięki któremu możliwe jest przejęcie kontroli nad każdym kontem na Facebooku. Opiera on się na wykrytym przez Goldshlagera błędzie w facebookowej implementacji protokołu OAuthu (przydziela uprawnienia dla facebookowych aplikacji). Aby jednak z niego skorzystać należy najpierw skłonić ofiarę do wejścia na odpowiednio spreparowaną stronę. To jednak nie wszystko, gdyż do rozwiązania pozostawał jeszcze problem z ominięciem przycisku akceptacji, który pojawiał się wraz z żądaniem dostępu danej aplikacji do konta użytkownika, czyli przed rozpoczęciem niezbędnej komunikacji.

Z pomocą przyszedł tutaj jednak Facebook Messenger, który ma tak szerokie uprawnienia, że użytkownik nie musi go akceptować. Ponadto token aplikacji zmienia się tylko po zmianie hasła.

Poniżej możecie zobaczyć na filmie przebieg hakerskiej akcji Goldshlagera:

______________________

Czy zastanawiacie się nad usunięciem konta z Fecebooka?


Zobacz również