10-летняя уязвимость позволяет взломать любой аккаунт в Facebook

Исследователь безопасности Амол Байкар обнаружил критическую уязвимость в протоколе авторизации OAuth социальной сети Facebook. Уязвимость существует около 10 лет, и ее эксплуатация позволяет злоумышленникам взломать любую учетную запись в Facebook.

Проблема содержится в функции «Войти через Facebook» («Login with Facebook»), использующей протокол авторизации OAuth 2.0 для обмена токенами между соцсетью и другими web-сайтами.

Удаленный преступник может настроить вредоносный web-сайт для перехвата трафика OAuth и похитить токены авторизации, предоставляющие доступ к учетным записям целевых пользователей Facebook.

После успешной эксплуатации уязвимости злоумышленник может отправлять сообщения, публиковать что-либо в ленте, изменять данные учетной записи, удалять сообщения и многое другое от имени жертвы. Преступник может перехватить контроль над другими учетными записями, включая Instagram, Oculus, а также Netflix, Tinder, Spotify и пр.

Пользователям Facebook рекомендуется сменить пароль для учетной записи в соцсети и выйти из аккаунтов на всех устройствах.

Байкар сообщил Facebook об обнаруженной уязвимости, и компания выплатила исследователю вознаграждение в размере $55 тыс.