Η Bitdefender εντόπισε ένα ελάττωμα στη διαδικασία εγγραφής λογαριασμού στο Facebook, η οποία επιτρέπει έμμεσα στους επιτιθέμενους να αποκτήσουν πρόσβαση στα προφίλ χρηστών σε ιστοσελίδες, που έχουν ενεργοποιημένο το χαρακτηριστικό Facebοok Social Login.
Η ευπάθεια θα μπορούσε να χρησιμοποιηθεί αν ένας εισβολέας ανακάλυπτε ότι το θύμα έχει μια διεύθυνση ηλεκτρονικού ταχυδρομείου την οποία χρησιμοποιεί σε τακτική βάση, αλλά δεν έχει καταχωρηθεί στο Facebook για να δημιουργήσει ένα λογαριασμό.
Ο εισβολέας θα μπορούσε να δημιουργήσει ένα προφίλ στο Facebοok με τη διεύθυνση ηλεκτρονικού ταχυδρομείου του θύματος, και όταν το Facebοok του ζητήσει να επιβεβαιώσει την ταυτότητά του, ο επιτιθέμενος προσθέτει το δικό του λογαριασμό email, σαν δευτερεύουσα διεύθυνση ηλεκτρονικού ταχυδρομείου.
Ο εισβολέας θα μπορούσε στη συνέχεια να χρησιμοποιήσει την κύρια διεύθυνση ηλεκτρονικού ταχυδρομείου (την διεύθυνση του θύματος) με τη δευτερεύουσα διεύθυνση ηλεκτρονικού ταχυδρομείου (τη δική του διεύθυνση), για να καταφέρει το Facebook να επιβεβαιώσει το λογαριασμό.
To Facebοok θα “δει” ότι ο λογαριασμός επιβεβαιώθηκε, έστω και αν χρησιμοποιήθηκε μόνο η δευτερεύουσα διεύθυνση ηλεκτρονικού ταχυδρομείου και όχι η πρώτη (του θύματος).
Αν και φαίνεται να είναι ένα απλό ελάττωμα στη διαδικασία εγγραφής του Facebοοk, στην πραγματικότητα, δεν είναι. Λόγω του χαρακτηριστικού Social Login του Faceboοk που επιτρέπει στους χρήστες να εγγραφούν και να συνδεθούν σε άλλους δικτυακούς τόπους, χρησιμοποιώντας τον λογαριασμό τους στο Faceboοk με τη διεύθυνση ηλεκτρονικού ταχυδρομείου που ανήκει σε κάποιον άλλο είναι επικίνδυνο.
Φανταστείτε να είχε το θύμα κάποιο λογαριασμό σε ηλεκτρονικά καταστήματα ή portals διαχείρισης επιχειρήσεων, όπου η λειτουργία του Faceboοk Social Login είναι ενεργοποιημένη. Ο εισβολέας θα μπορούσε να συνδεθεί αυτόματα με τη χρήση του προφίλ του θύματος.
Οι ερευνητές της Bitdefender ενημέρωσαν το Facebook για την ευπάθεια.