Παραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Ο ερευνητής ασφάλειας, Stephen Sclafani, έχει ανακαλύψει μια κρίσιμη ευπάθεια στη δημοφιλή ιστοσελίδα κοινωνικής δικτύωσης, Facebook, που του επιτρέπει να παραβιάσει οποιονδήποτε λογαριασμό.

facebook security

Ο Stephen χρειάζεται απλά το όνομα χρήστη, ώστε να παραβιάσει έναν λογαριασμό και να διαβάσει την αλληλογραφία, να δει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, να δημιουργήσει ή να διαγράψει σημειώσεις κ.α.

Όπως εξηγεί στο blog του, μια εσφαλμένη ρύθμιση στο τελικό σημείο επιτρέπει την πραγματοποίηση νόμιμων κλήσεων REST API σε κάθε χρήστη στο Faceboοk, χρησιμοποιώντας μόνο το όνομα χρήστη τους.

Το Faceboοk REST API λέγεται ότι είναι προκάτοχος του διαθέσιμου Graph API. Κατάφερε να αποστείλει αίτημα στον server χρησιμοποιώντας αυτό το API, για να ενημερώσει την κατάσταση στον λογαριασμό του θύματος.

facebook hack Παραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Ο Stephen ανακάλυψε αυτή την ευπάθεια στις 23 Απριλίου και την ανέφερε στο Facebοok. Μετά την ενημέρωση το Facebοok επιδιόρθωσε προσωρινά το σφάλμα στις 30 Απριλίου. Το Facebοok επιβράβευσε τον ερευνητή δίνοντάς του αμοιβή 20.000 δολάρια για την εύρεση και αναφορά του bug.

  Play Store: Νέος αλγόριθμος εμφανίζει ποιοτικές εφαρμογές

Secnews.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


8  +  1  =