Παραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Ο ερευνητής ασφάλειας, Stephen Sclafani, έχει ανακαλύψει μια κρίσιμη ευπάθεια στη δημοφιλή ιστο κοινωνικής δικτύωσης, , που του επιτρέπει να παραβιάσει οποιονδήποτε λογαριασμό.

facebook security

Ο Stephen χρειάζεται απλά το όνομα χρήστη, ώστε να παραβιάσει έναν λογαριασμό και να διαβάσει την αλληλογραφία, να δει τις διευθύνσεις ηλεκτρονικού υ, να δημιουργήσει ή να διαγράψει σημειώσεις κ.α.

Όπως εξηγεί στο blog του, μια εσφαλμένη ρύθμιση στο τελικό σημείο επιτρέπει την πραγματοποίηση νόμιμων κλήσεων REST API σε κάθε χρήστη στο Faceboοk, χρησιμοποιώντας μόνο το όνομα χρήστη τους.

Το Faceboοk REST API λέγεται ότι είναι προκάτοχος του υ Graph API. Κατάφερε να αποστείλει αίτημα στον χρησιμοποιώντας αυτό το API, για να ενημερώσει την κατάσταση στον λογαριασμό του θύματος.

facebook hack Παραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Ο Stephen ανακάλυψε αυτή την ευπάθεια στις 23 Απριλίου και την ανέφερε στο Facebοok. Μετά την ενημέρωση το Facebοok επιδιόρθωσε προσωρινά το σφάλμα στις 30 Απριλίου. Το Facebοok επιβράβευσε τον ερευνητή δίνοντάς του αμοιβή 20.000 δολάρια για την εύρεση και αναφορά του bug.

Secnews.gr

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).