10-year vulnerability allows hacking any Facebook account

DronVR

Private access level
Joined
Jun 1, 2014
Messages
277
Reaction score
247
Points
43
10-year vulnerability allows hacking any Facebook account

Security Researcher Amol Baikar discovered critical vulnerability in the OAuth authentication protocol of the social network Facebook. The vulnerability has been around for 10 years, and its exploitation allows attackers to hack into any Facebook account.

The problem is contained in the “Login with Facebook” function, which uses the OAuth 2.0 authorization protocol for exchanging tokens between the social network and other websites.

A remote culprit could set up a malicious website to intercept OAuth traffic and steal authorization tokens that provide access to the accounts of targeted Facebook users.

After successfully exploiting the vulnerability, an attacker can send messages, publish something in the feed, modify account information, delete messages, and much more on behalf of the victim. A criminal can take control of other accounts, including Instagram, Oculus, as well as Netflix, Tinder, Spotify, etc.

Facebook users are advised to change the password for the account on the social network and log out of accounts on all devices.

Baikar told Facebook about the discovered vulnerability, and the company paid the researcher a reward of $ 55 thousand.



Source
 
Original message
10-летняя уязвимость позволяет взломать любой аккаунт в Facebook

Исследователь безопасности Амол Байкар обнаружил критическую уязвимость в протоколе авторизации OAuth социальной сети Facebook. Уязвимость существует около 10 лет, и ее эксплуатация позволяет злоумышленникам взломать любую учетную запись в Facebook.

Проблема содержится в функции «Войти через Facebook» («Login with Facebook»), использующей протокол авторизации OAuth 2.0 для обмена токенами между соцсетью и другими web-сайтами.

Удаленный преступник может настроить вредоносный web-сайт для перехвата трафика OAuth и похитить токены авторизации, предоставляющие доступ к учетным записям целевых пользователей Facebook.

После успешной эксплуатации уязвимости злоумышленник может отправлять сообщения, публиковать что-либо в ленте, изменять данные учетной записи, удалять сообщения и многое другое от имени жертвы. Преступник может перехватить контроль над другими учетными записями, включая Instagram, Oculus, а также Netflix, Tinder, Spotify и пр.

Пользователям Facebook рекомендуется сменить пароль для учетной записи в соцсети и выйти из аккаунтов на всех устройствах.

Байкар сообщил Facebook об обнаруженной уязвимости, и компания выплатила исследователю вознаграждение в размере $55 тыс.



Источник
Similar threads

Similar threads