Рубрики
МЕНЮ
Виталий Войчук
Уязвимость могла быть использована на сайтах с активированной функцией Social Login, если бы злоумышленник обнаружил, что у жертвы есть постоянно используемый электронный ящик, с помощью которого аккаунт в социальной сети не регистрировался, сообщает "3Dnews".
Так злоумышленник мог бы создать профиль в Facebook с помощью электронного адреса жертвы, а в процессе подтверждения личности добавить в аккаунт свой собственный адрес в качестве запасного. После этого достаточно было бы сделать запасной адрес основным и отправить запрос на подтверждение аккаунта. Facebook выслал бы на почтовый ящик письмо, через которое можно было бы подтвердить аккаунт и снова поменять местами электронные адреса. Социальная сеть в таком случае посчитала бы, что аккаунт подтверждён — даже если бы для этого использовалась только второстепенная почта.
В случае, если бы у жертвы, например, были аккаунты в интернет-магазинах или на порталах по управлению бизнесом, на которых включена функция Social Login, злоумышленник мог бы автоматически входить на такие сайты с помощью собственноручно созданного профиля в социальной сети. При этом ни Facebook, ни сайт не смогли бы заподозрить неладное: первый "видел" бы подтверждённого пользователя, а второй — своего пользователя, входящего на сайт с помощью аккаунта в Facebook.
Специалист BitDefender уведомил компанию об уязвимости, и вскоре она была исправлена.
Обсуждения
Новости партнеров
Новости