Программисты Facebook в спешном порядке залатали огромную брешь в системе
защиты Facebook, которая позволяла атакующему получить сведения о дате рождения
пользователей и другую важную информацию даже в том случае, если она была
отмечена как приватная. Данные об этой уязвимости впервые опубликовал вчера
главный аналитик компании Alert Logic Эм Джей Кит.

По
его словам
, эксплуатация бага предполагала, что пользователь кликнет по
вредоносной ссылке в тот момент, когда будет авторизован на Facebook.
Эксплуатируя эту брешь, нападающие могли читать, удалять или видоизменять
профиль жертвы, включая фотографии и данные, предназначенные только для друзей.
Кит утверждает, что под угрозой взлома находился буквально каждый аккаунт
Facebook, к которому злоумышленники могли получить почти такой же уровень
доступа, как и сам пользователь.

В данный момент основная часть возможных способов осуществления межсайтовой
подделки запросов с использованием данного бага устранена, однако возможность
управления некоторыми предпочтениями пользователей сохраняется до сих пор.

Уязвимость скрывается в идентификаторе post_form_id, который используется,
чтобы гарантировать передачу команд именно через тот браузер, который прошел
авторизацию. Обойти эту защиту оказалось просто – даже после пропуска проверки
серверы Facebook больше не предпринимают попыток удостовериться в том, что
браузер авторизован.

В связи с этим интересен опрос, проведенный недавно среди 1588 пользователей
Facebook. Респондентов спросили, готовы ли они отказаться от использования этой
социальной сети в случае, если будут испытывать опасения за сохранность своих
личных данных. Ответ “Возможно” дали 30% опрошенных, а “Весьма вероятно” – еще
30%. Не готовыми расстаться с любимым средством общения оказались лишь 12%
пользователей.



Оставить мнение