Стало известно о критической уязвимости сети Facebook

Программисты сети Facebook в срочном порядке заделали огромную брешь системы защиты Facebook, которая позволяла злоумышленнику получать сведения о датах рождения пользователей сети и другую личную информацию, даже если она была помечена как частная. Данные об уязвимости первым опубликовал Эм Джей Кит - главный эксперт-аналитик компании Alert Logic.

По словам эксперта, эксплуатация локализованного бага предполагала: - пользователь кликает по вредоносной ссылке в момент, когда будет закончен процесс авторизации в Facebook. Эксплуатация этой бреши, позволяла нападающим читать, редактировать и даже видоизменять профили жертв, включая загруженные фотографии и данные, изначально предназначенные владельцем только для друзей. Эм Джей Кит уверен, что под угрозой находился почти каждый аккаунт в Facebook, к которым злоумышленники смогли получить доступ такого уже уровня, как и сам его создатель.

На сегодняшний момент основная часть способов межсайтовой имитации запросов с использованием локализованного бага устранена, хотя возможность управлять некоторыми предпочтениями владельцев аккаунтов сохраняется.

Как оказалось, уязвимость была скрыта в идентификаторе, который использован для гарантирования передачи команд только через браузер, который прошел успешную авторизацию. Выявленный случай стал причиной повышенного беспокойства о надёжности идентификационных систем в социальных сетях - обойти их защиту оказалось очень просто.