Descoperită de specialiştii în securitate cibernetică ai Bitdefender, o vulnerabilitate prezentă în mecanismul de autentificare al Facebook permitea furtul identităţii anumitor utilizatori de internet, un eventual atacator obţinând în acest mod acces la majoritatea conturilor online la care este permisă autentificarea prin Facebook.
Autentificarea prin reţele sociale este o metodă alternativă de conectare la diverse conturi, care le oferă utilizatorilor o modalitate convenabilă de a se înregistra fără a mai completa câmpurile de utilizator şi parolă. Cele mai multe site-uri permit conectarea prin Facebook, LinkedIn, Twitter sau Google Plus. Specialiştii Bitdefender au găsit o modalitate prin care să îşi asocieze identitatea utilizatorului şi să contoleze neîngrădit conturile online ale acestuia.
„Folosind această vulnerabilitate în sistemul de login via Facebook, atacatorii pot accesa majoritatea conturilor online ale utilizatorilor care permit autentificarea cu această reţea socială. Asta înseamnă că atacatorii pot face plăţi în numele utilizatorilor pe site-urile magazinelor online, de exemplu”, spune Cătălin Coşoi, Chief Security Strategist, Bitdefender.
Pentru ca atacul să reuşească, adresa de e-mail a victimei nu trebuie să fie asociată deja unui cont de Facebook, însă pot fi folosite adrese alternative deţinute de aceasta. De regulă, utilizatorii deţin mai mult de o adresă de e-mail, unele fiind publice pe internet şi, deci, se află la dispoziţia oricărui răufăcător. Pentru a verifica identitatea unui utilizator fără să-i expună datele de autentificare, Login prin Facebook foloseşte protocolul OAuth, prin care autorizează terţii să primească unele informaţii despre utilizatori în momentul accesării anumitor site-uri.
sursa: Bitdefender