Παραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Ο ερευνητής ς, Stephen Sclafani, έχει ανακαλύψει μια κρίσιμη στη δημοφιλή ιστοσελίδα κοινωνικής δικτύωσης, , που του επιτρέπει να παραβιάσει οποιονδήποτε λογαριασμό.

facebook security

Ο Stephen χρειάζεται απλά το όνομα χρήστη, ώστε να παραβιάσει έναν λογαριασμό και να διαβάσει την αλληλογραφία, να δει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, να δημιουργήσει ή να διαγράψει σημειώσεις κ.α.

Όπως εξηγεί στο blog του, μια εσφαλμένη ρύθμιση στο τελικό σημείο επιτρέπει την πραγματοποίηση νόμιμων κλήσεων REST API σε κάθε χρήστη στο Faceboοk, χρησιμοποιώντας μόνο το όνομα χρήστη τους.

Το Faceboοk REST API λέγεται ότι είναι προκάτοχος του διαθέσιμου Graph API. Κατάφερε να αποστείλει αίτημα στον χρησιμοποιώντας αυτό το API, για να ενημερώσει την κατάσταση στον λογαριασμό του θύματος.

facebook hack Παραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Ο Stephen ανακάλυψε αυτή την ευπάθεια στις 23 Απριλίου και την ανέφερε στο Facebοok. Μετά την το Facebοok επιδιόρθωσε προσωρινά το στις 30 Απριλίου. Το Facebοok επιβράβευσε τον ερευνητή δίνοντάς του αμοιβή 20.000 δολάρια για την εύρεση και αναφορά του bug.

Secnews.gr

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).