В Facebook* можно взломать любой аккаунт
* Социальная сеть признана экстремистской и запрещена на территории Российской Федерации.
Амол Байкар нашёл в американской социальной сети Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) брешь в системе безопасности, при помощи которой можно осуществить взлом любого аккаунта. Более того, по словам специалиста, эта критическая уязвимость существует уже около 10 лет. Проблема заключается в работе функции входа через Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) с использованием протокола авторизации OAuth 2.0. «Войти через Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации)» часто используется для обмена данными профиля между социальной сетью и различными сайтами.
Таким образом аккаунт становится универсальным средством входа и может применяться на других сервисах без дополнительной регистрации. Однако Байкар выяснил, что хакеры могут удалённо настроить вредоносный сайт для перехвата трафика с целью похитить данные авторизации. В них в том числе содержится доступ к учётным записям пользователей Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации). После этого злоумышленники могут отправлять сообщения и делать публикации от лица взломанного пользователя, а также изменять данные его учётной записи.
Кроме того, это открывает хакерам возможность попытаться получить управление и над профилями Instagram (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации), Tinder, а также других приложений, где работает система входа через профиль Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации). Байкар сообщил компании об обнаруженной уязвимости, после чего в Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) подтвердили факт её наличия и, по словам разработчиков, уже исправили её. Социальная сеть также выплатила специалисту по кибербезопасности вознаграждение в размере 55 тысяч долларов.
