Спецпроекты

Найден способ взломать любой аккаунт Facebook с помощью «дыры», которой 10 лет

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы
Исследователь безопасности раскрыл сведения об опасной уязвимости десятилетней давности в функции «Войти через Facebook». Брешь, ликвидированная Facebook в начале 2020 г., позволяла захватить контроль над любой учетной записью в социальной сети и дружественных ей сервисах.

Опасная уязвимость

Исследователь безопасности Амол Байкар (Amol Baikar) выявил опасную уязвимость в протоколе авторизации OAuth Facebook. Она позволяет получить доступ к любой учетной записи соцсети, а также другим сервисам, вход в которые осуществляется при помощи Facebook. Об этом специалист рассказал в своем персональном блоге, особо отметив, что описанный баг существует уже примерно 9-10 лет.

По словам Байкара, проблема заключается в особенностях реализации функции «Войти через Facebook» (Login with Facebook), использующей протокол авторизации OAuth 2.0 для обмена токенами авторизации между сайтом соцсети и другими веб-ресурсами. Благодаря этой функции владельцы аккаунта в Facebook могут свободно пользоваться сторонними интернет-сервисами, предоставляющими такую возможность, без прохождения дополнительной регистрации.

Специалист объяснил, что злоумышленник может развернуть особый веб-сайт для перехвата трафика OAuth и украсть токены, предоставляющие доступ к Facebook-аккаунтам посетителей. В результате «взломщик» получит возможность отправлять сообщения, размещать посты в ленте, изменять данные учетной записи, а также выполнять любые другие действия от имени жертвы.

Кроме того, киберпреступник получает возможность установить контроль над аккаунтами на сторонних ресурсах, для использования которых может применяться авторизация с помощью Facebook. Такую возможность сейчас предоставляют многие веб-сервисы, в том числе соцсеть Instagram, стриминговые сервисы Netflix и Spotify, а также приложение для знакомств Tinder.

Реакция компании

Байкар сообщил Facebook об обнаруженной уязвимости 16 декабря 2019 г. К его удивлению компания признала наличие «дыры» в этот же день. Более того, она сразу же выпустила исправление.

Исследователь безопасности Амол Байкар нашел способ взломать любой аккаунт Facebook с помощью десятилетней бреши

Тем не менее, позднее исследователь обнаружил ошибки и в его реализации, о чем 3 января 2020 г. уведомил представителей компании. 10 января Facebook устранила выявленные Байкаром недостатки.

За свою работу эксперт 20 февраля получил от Facebook вознаграждение в размере $55 тыс. в рамках программы Bug Bounty.

Инциденты и утечки в Facebook

За последние несколько лет Facebook неоднократно оказывалась в центре различных скандалов из-за небрежного отношения к приватности пользователей соцсети, а также наличия серьезных уязвимостей в других продуктах компании.

Так, в июле 2019 г. в мобильной версии Instagram (входит в экосистему Facebook) была обнаружена уязвимость, которая позволяла злоумышленнику сбросить пароль для совершенно любой учетной записи и получить над ней полный контроль.

В апреле 2019 г. Facebook уличили в том, что при регистрации в социальной сети может запрашиваться пароль пользователя к его электронной почте, если почтовый сервис клиента вызывает у системы некие подозрения. В списке «подозрительных» оказался и популярный российский сервис «Яндекс.почта».

В марте 2019 г. выяснилось, что десятки тысяч сотрудников компании могли иметь доступ к чужим страницам в Facebook и Instagram, поскольку пароли сотен миллионов пользователей хранились на серверах компании в незашифрованном виде. Причем наличие проблемы социальная сеть официально признала лишь после того, как сторонний специалист по информационной безопасности со связями внутри компании рассказал о ней в интернете.

В сентябре 2018 г. Facebook признала утечку данных более 50 млн владельцев учетных записей. Причиной взлома стала серьезная уязвимость в коде Facebook. Она была устранена в кратчайшие сроки, а о случившемся были уведомлены правоохранительные органы.

В ноябре 2018 г. стало известно о том, что соцсеть не смогла дать отпор киберпреступникам, в результате чего в руках хакеров оказались личные сведения о более чем 120 млн пользователей сети. Данные были выставлены на продажу по цене в 10 центов за один профиль.

В период с 2007 по 2014 гг. социальная сеть передавала британской аналитической компании Cambridge Analytica сведения о своих пользователях, в результате чего пострадали 87 млн человек.



Персона месяца

Инвесторам интересен не российский интернет, а российские технологии

Кенес Ракишев

казахстанский миллионер, создатель криптосмартфона

Тема месяца

Что делать ИТ-директору во время пандемии

Перед ИТ-руководителями встают задачи, связанные с обеспечением удаленной работы сотрудников.