Descoperita de specialistii in securitate cibernetica ai Bitdefender, o vulnerabilitate prezenta la autentificarea Facebook permitea furtul identitatii anumitor utilizatori online, un atacator obtinand astfel acces la majoritatea conturilor online la care este permisa autentificarea prin Facebook.

Specialistii Bitdefender au gasit o modalitate prin care sa isi asocieze identitatea utilizatorului si sa contoleze neingradit conturile online ale acestuia.

"Folosind aceasta vulnerabilitate in sistemul de login via Facebook, atacatorii pot accesa majoritatea conturilor online ale utilizatorilor care permit autentificarea cu aceasta retea de socializare. Asta inseamna ca atacatorii pot face plati in numele utilizatorilor pe site-urile magazinelor online, de exemplu", spune Catalin Cosoi, Chief Security Strategist, Bitdefender.

Pentru ca atacul sa reuseasca, adresa de e-mail a victimei nu trebuie sa fie asociata deja unui cont de Facebook, insa pot fi folosite adrese alternative detinute de aceasta. De regula, utilizatorii detin mai mult de o adresa de e-mail, unele fiind publice pe internet si, deci, se afla la dispozitia oricarui raufacator.

Pentru a verifica identitatea unui utilizator fara sa-i expuna datele de autentificare, Login prin Facebook foloseste protocolul OAuth, prin care autorizeaza tertii sa primeasca unele informatii despre utilizatori in momentul accesarii anumitor site-uri, mai scrie Go4it.

Cum functioneaza vulnerabilitatea

Cercetatorii Bitdefender au reusit sa ocoleasca etapa de confirmare, ceruta de regula in momentul inregistrarii pe un site cu o noua adresa de e-mail asociata unui cont Facebook. Mai intai, au creat un profil de Facebook, cu adresa de e-mail a victimei asociata diverselor conturi pe care le detine pe internet.

Dupa ce au creat profilul Facebook cu adresa de e-mail apartinand victimei, au adaugat contului de Facebook si o adresa controlata de atacatori.

Dupa un refresh al paginii, e-mail-ul victimei este deja validat de Facebook. Cand incearca sa se autentifice pe o alta pagina folosind butonul Facebook Login cu adresa de e-mail a victimei, i se solicita sa confirme propria adresa e-mail, nu pe cea initiala, apartinand victimei.

Citeste si:
Răsturnare de situație! Afaceristul din Cluj și-ar fi înscenat...
Răsturnare de situație!...

In setarile contului de Facebook, atacatorul stabileste propria adresa drept contact primar pentru cont in locul adresei de e-mail a victimei.

In consecinta, atacatorul se conecteaza cu succes la conturile online detinute de victima, inregistrate cu adresa de e-mail folosita de atacator sa creeze profilul Facebook, precum cele din magazine online, site-uri de rezervari, aplicatii personale, etc. Partea care certifica identitatea – in acest caz, Facebook - ar fi trebuit sa astepte pana cand noua adresa de e-mail asociata contului de Facebook era verificata.

Compania Facebook a remediat vulnerabilitatea dupa notificarea furnizata de catre cercetatorii Bitdefender precizeaza MEDIAFAX.


Despre autor:


Abonează-te pe


Te-ar putea interesa si:

In lipsa unui acord scris din partea Internet Corp, puteti prelua maxim 500 de caractere din acest articol daca precizati sursa si daca inserati vizibil linkul articolului.