O deficienţă de securitate a permis accesul nestingherit la conturile utilizatorilor de Facebook

O deficienţă de securitate cu risc major, făcută publică abia recent pe blogul personal al unui expert în securitate, a lăsat practic toate conturile de utilizator Facebook la mila hackerilor, prezentând o cale de a obţine acces nelimitat asupra profilului de utilizator fără ştirea victimei.

Vulnerabilitatea a fost descoperită în sistemul OAuth, folosit pentru a intermedia comunicarea de informaţii între aplicaţii Facebook şi utilizatori.

Deşi în mod normal sistemul de autentificare OAuth ne prezintă un mesaj de întâmpinare ori de câte ori instalăm o aplicaţie nouă, cerând confirmarea acordării unor drepturi de acces asupra contului de utilizator apăsând butonul Allow/Accept, vulnerabilitatea descoperită face ca acest mesaj să nu mai fie afişat. Mai grav este nici măcar nu este nevoie de instalarea unei aplicaţii infectate în contul de Facebook, fapt ce lasă vulnerabili absolut toţi utilizatorii reţelei de socializare, chiar şi aceia care nu au instalat niciodată aplicaţii Facebook.

Petru ca un hacker să poată exploata gaura de securitate descoperită nu este nevoie decât ca victima să fie păcălită în a vizita un website controlat de atacator. Indiferent de web browserul folosit, rezultatul era obţinerea unei chei de acces ce garanta acces nelimitat la colecţia de mesaje din inbox, paginile Facebook administrate de utilizatori, albumele private de fotografii şi multe altele, valabilă pe termen nelimitat sau până ce victima hotăra să-şi schimbe parola de utilizator.

Din fericire reprezentanţii Facebook au confirmat remedierea problemei de securitate descoperită, catalogată ca fiind una cu risc extrem de ridicat. Totuşi, este greu de spus dacă în sistemul de securitate foarte complex, implementat pentru protecţia utilizatorilor care accesează serviciile Facebook, nu mai sunt şi alte găuri de securitate de tipul celei făcute publice, dar care sunt exploatate şi acum de hackeri profesionişti.