В системе регистрации аккаунтов социальной сети Facebook была обнаружена уязвимость, которая могла использоваться злоумышленниками для взлома аккаунтов на других сайтах. Подобная брешь была выявлена производителем антивирусного программного обеспечения BitDefender.
Информация системы регистрации Facebook могла быть использована на ресурсах где активна функция Social Login, в том случае, если бы злоумышленник выяснил о наличии у жертвы взлома постоянно используемого электронного ящика, который не был задействован в процессе регистрации в социальной сети.
Процесс захвата аккаунта осуществлялся следующим образом. Хакер создает профиль в Facebook при помощи электронного адреса пользователя, который уже зарегистрирован в соцсети. Далее в процессе подтверждения личности, злоумышленник добавляет в новый аккаунт уже свой адрес как запасной. После этого хакер сменил бы уже основной электронный адрес на свой собственный и отправил запрос подтверждения аккаунта. Система Facebook высылала на почтовый ящик письмо со ссылкой на страницу подтверждения аккаунта. В этом случает злоумышленник снова сменил бы основной и запасной адреса. После этого система безопасности Facebook рассматривала бы аккаунт как подтверждённый, несмотря на то, что использовалась только второстепенная почта.
Также, в том случае, если бы у пользователя были зарегистрированы аккаунты в интернет-магазинах или порталах по управлению бизнесом, со включенной функцией Social Login, хакеры могли бы автоматически входить на такие сайты при помощи собственного профиля в Facebook. В данном случае ни Facebook, ни ресурс с Social Login рассматривали бы злоумышленника как пользователя взломанной страницы.
Сообщается, сотрудники BitDefender выявили данный просчёт в системе безопасности социальной сети и ошибка была немедленно исправлена.
Также смотрите:
