Specialiştii Bitdefender au identificat o vulnerabilitate în mecanismul de autentificare al Facebook. Chiar dacă hackerii nu aveau acces direct la reţeaua socială, pericolul era mare.

Hackerii puteau fura, prin vulnerabilitatea platformei sociale, identitatea anumitor utilizatori şi să le acceseze majoritatea conturilor online, unde se conectează prin Facebook. Pericolul acesta a devenit tot mai mare pe măsură ce autentificarea prin reţele sociale a devenit o metodă alternativă de conectare la diverse conturi. Utilizatorii au astfel o modalitate mai convenabilă de a se înregistra fără a mai completa câmpurile de utilizator şi parolă. Cele mai multe site-uri permit conectarea prin Facebook, LinkedIn, Twitter sau Google+.

Bitdefender a găsit o modalitate prin care să îşi asocieze identitatea utilizatorului şi să controleze neîngrădit conturile online ale acestuia. Pentru ca atacul să reuşească, adresa de mail a victimei nu trebuie să fie asociată deja unui cont de Facebook, însă pot fi folosite adrese alternative deţinute de aceasta. De regulă, utilizatorii deţin mai mult de o adresă de mail, unele fiind publice pe Internet şi, deci, se află la dispoziţia oricărui răufăcător.

Pentru a verifica identitatea unui utilizator fără să-i expună datele de autentificare, Login prin Facebook foloseşte protocolul OAuth, prin care autorizează terţii să primească unele informaţii despre utilizatori în momentul accesării anumitor site-uri.

Cum funcţionează vulnerabilitatea din Facebook

Experţii în securitate cibernetică au reuşit să ocolească etapa de confirmare, cerută de regulă în momentul înregistrării pe un site cu o nouă adresă de mail asociată unui cont Facebook.

Mai întâi, au creat un profil de Facebook, cu adresa de mail a victimei asociată diverselor conturi pe care le deţine pe Internet. După ce au creat profilul Facebook cu adresa de mail aparţinând victimei, au adăugat contului şi o adresă controlată de atacatori.

După o reîmprospătare a paginii, mailul victimei este deja validat de Facebook. Când încearcă să se autentifice pe o altă pagină folosind butonul Facebook Login cu adresa de mail a victimei, i se solicită să confirme propria adresă mail, nu pe cea iniţială, aparţinând victimei. În setările contului de Facebook, atacatorul stabileşte propria adresă drept contact primar pentru cont în locul adresei de mail a victimei.

În consecinţă, atacatorul se conectează cu succes la conturile online deţinute de victimă, înregistrate cu adresa de mail folosită de atacator să creeze profilul Facebook, precum cele din magazine online, site-uri de rezervări, aplicaţii personale, etc. Partea care certifică identitatea – în acest caz, Facebook - ar fi trebuit să aştepte până când noua adresă de mail asociată contului de Facebook era verificată. În prezent, compania Facebook a remediat vulnerabilitatea după notificarea furnizată de Bitdefender.

<a href="https://www.facebook.com/adevarultech" target="_blank" rel="nofollow">Hai pe Facebook ca să ştii ce-i nou şi când nu eşti pe site!</a>