Программисты Facebook в спешном порядке залатали огромную брешь в системе
защиты Facebook, которая позволяла атакующему получить сведения о дате рождения
пользователей и другую важную информацию даже в том случае, если она была
отмечена как приватная. Данные об этой уязвимости впервые опубликовал вчера
главный аналитик компании Alert Logic Эм Джей Кит.
По
его словам, эксплуатация бага предполагала, что пользователь кликнет по
вредоносной ссылке в тот момент, когда будет авторизован на Facebook.
Эксплуатируя эту брешь, нападающие могли читать, удалять или видоизменять
профиль жертвы, включая фотографии и данные, предназначенные только для друзей.
Кит утверждает, что под угрозой взлома находился буквально каждый аккаунт
Facebook, к которому злоумышленники могли получить почти такой же уровень
доступа, как и сам пользователь.
В данный момент основная часть возможных способов осуществления межсайтовой
подделки запросов с использованием данного бага устранена, однако возможность
управления некоторыми предпочтениями пользователей сохраняется до сих пор.
Уязвимость скрывается в идентификаторе post_form_id, который используется,
чтобы гарантировать передачу команд именно через тот браузер, который прошел
авторизацию. Обойти эту защиту оказалось просто – даже после пропуска проверки
серверы Facebook больше не предпринимают попыток удостовериться в том, что
браузер авторизован.
В связи с этим интересен опрос, проведенный недавно среди 1588 пользователей
Facebook. Респондентов спросили, готовы ли они отказаться от использования этой
социальной сети в случае, если будут испытывать опасения за сохранность своих
личных данных. Ответ “Возможно” дали 30% опрошенных, а “Весьма вероятно” – еще
30%. Не готовыми расстаться с любимым средством общения оказались лишь 12%
пользователей.
