BitDefender a descoperit și a anunțat Facebook cu privire la o vulnerabilitate în sistemul de autentificare folosit pentru conectarea la alte site-uri și servicii online.
Sistemul OAuth, folosit de pentru conectarea la site-urile care oferă suport pentru autentificarea cu ajutorul contului de Facebook, a permis atacatorilor să acceseze aplicațiile și serviciile online la care victima s-a conectat folosind contul de Facebook.
Vulnerabilitatea a fost descoperită prin crearea unui cont de Facebook pe baza adresei de mail a victimei, dar a unei adrese diferite de cea atașată contului original de Facebook. La contul ”fals” a fost adaugată o altă adresă de mail, controlată de atacator. Această a doua adresă a fost stabilită ca și modalitate principală de contact.
28 noiembrie - Profit Financial.forum
Problema a fost că Facebook nu a verificat prima adresă de mail, cea pe baza căreia a fost creat contul, ci a trimis mail-ul de verificare doar pe a doua adresă, cea deținută de atacator.
Ca urmare, atacatorul se poate conecta la site-urile la care victima are conturi pe baza adresei de mail înscrise de atacatori la crearea contului fals de Facebook.
În realitate, probabilitatea ca acest tip de atac să fi avut șanse de reușită era destul de mică, de la bun început. În general, utilizatorii folosesc o singură adresă de mail pentru crearea conturilor online. Nu folosești o adresă de mail pentru Facebook, și alta pentru restul site-urilor și aplicațiilor. Iar dacă folosești aceeași adresă de mail, adresa secundară găsită și folosită de atacator nu-i va permite acestuia accesarea conturilor la care s-a realizat autentificarea cu Facebook, din moment ce acea adresă nu a fost folosită pentru așa ceva.
Chiar și așa, neverificarea tuturor adreselor de mail atașate contului de Facebook a fost o scăpare majoră din partea celor de la Facebook, scăpare ce a fost remediată deja.
Facebook oferă recompense celor care raportează probleme reale de securitate ale produselor sale. Dincolo de recompensa financiară, Facebook menține și o pagină în care le mulțumește celor care și-au adus contribuția. BitDefender nu figurează (deocamdată) aici.