Специалисты социальных сетей Facebook и MySpace закрыли в своих сайтах
зияющие дыры, позволявшие злоумышленникам получать полный доступ к профилям тех
пользователей, которые использовали функцию автоматической авторизации.
Согласно
этому документу, опубликованному разработчиком программного обеспечения для
Facebook, уязвимости были весьма серьезными. И действительно – привязка попыток
незаконного доступа к IP-адресам и cookie жертв практически лишала экспертов
возможности отследить источник атаки. Более того, получив доступ к профилю,
киберпреступники могли загружать через него сообщения и фотографии, выдавая их
за личные данные жертвы без всякого уведомления ее об этом.
На этот раз и Facebook и MySpace закрыли дыры сразу же после того, как были
предупреждены об их наличии, продемонстрировав более заметную, чем в прошлом
расторопность, когда уязвимости порой не закрывались месяцами. Тем не менее,
такие баги вообще по идее не должны вскрываться посторонними людьми.
Установить бэкдор хакерам удалось благодаря неправильно сконфигурированному
файлу crossdomain.xml, используемому для обмена контентом между различными
сайтами при помощи Adobe Flash. Некоторые из перечисленных в файле доступных
доменов компрометировали ключи аутентификации для аккаунтов с активированной
функцией автоматической авторизации. Для кражи ключа доступа к профилю
преступникам необходимо было заманить пользователей на сайт, содержащий
flash-приложение, специально созданное для сбора аутентификационных данных.
