Ο ειδικός σε θέματα ασφαλείας Egor Homakov από την εταιρεία Sakurity κυκλοφόρησε το εργαλείο Reconnect (Επανασύνδεση) που επιτρέπει σε hackers πραγματοποιήσουν ένα exploit σε μια ευπάθεια του Facebook για να παραβιάσουν λογαριασμούς σε ιστοσελίδες που χρησιμοποιούν το χαρακτηριστικό “σύνδεση με το Facebook”.
Ο Homakov, που εργάζεται για την pentesting εταιρεία Sakurity, ανέφερε την ευπάθεια στο Facebook πριν από ένα χρόνο, αλλά η εταιρεία δεν ενημέρωσε τον κώδικα της, για να προστατέψει ένα τεράστιο αριθμό ιστοσελίδων που χρησιμοποιούν το χαρακτηριστικό.
Το Reconnect εκμεταλλεύεται ελαττώματα cross-site request forgery (CSRF) που επηρεάζουν το Facebook Login, το οποίο επιτρέπει στους χρήστες να συνδεθούν με τρίτες ιστοσελίδες μέσω των λογαριασμών τους στο Facebook. Βασικά η ευπάθεια επιτρέπει στους επιτιθέμενους να αποκτήσουν πρόσβαση σε λογαριασμούς των θυμάτων χρησιμοποιώντας εφαρμογές Facebook που αναπτύχθηκαν από τρίτες ιστοσελίδες όπως το Mashable, τη Vimeo, About.me, το Stumbleupon και πολλές άλλες.
“Το Reconnect είναι ένα έτοιμο προς χρήση εργαλείο για να εισβάλετε σε λογαριασμούς ιστοσελίδων που χρησιμοποιούν το Facebook Login, για παράδειγμα στο Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable.com, Vimeo και πολλές άλλες,” έγραψε ο Homakov σε μια δημοσίευση στο blog της εταιρείας του.
Το Facebook από την άλλη, αρνήθηκε ότι δεν δέχτηκε να καθορίσει την επίθεση, ρίχνοντας το φταίξιμο στους προγραμματιστές που δεν ακολουθούν τις βέλτιστες πρακτικές του Facebook.
Για να το πούμε διαφορετικά, το κοινωνικό δίκτυο δεν διόρθωσε την ευπάθεια γιατί ο ερευνητής δεν ακολούθησε κατά γράμμα τη διαδικασία που ορίζει το Facebook.
Μέχρι να διορθωθεί το πρόβλημα από την εταιρεία, οι ιστοσελίδες που χρησιμοποιούν το Facebook Login μπορούν απενεργοποιήσουν την υπηρεσία από τα sites τους.