SPAccess
logo
mobile-logo
HomeStiriSecuritate ITBitdefender a descoperit o vulnerabilitate in sistemul de autentificare Facebook
bitdefender-a-descoperit-o-vulnerabilitate-in-sistemul-de-autentificare-facebook
0 Comments
617 Views
by:

Bitdefender a descoperit o vulnerabilitate in sistemul de autentificare Facebook

bitdefender-a-descoperit-o-vulnerabilitate-in-sistemul-de-autentificare-facebookSpecialiștii în securitate cibernetică ai Bitdefender au descoperit o vulnerabilitate a Facebook care distruge avantajele autentificării cu ajutorul contului de social media.

Măsurile de securitate insuficiente pentru validarea autentificării permit atacatorilor să fure identitatea anumitor utilizatori de internet și să le acceseze orice cont online fără a fi nevoie de o parolă, au precizat cei de la Bitdefender într-o postare pe blog.

Logarea cu ajutorul conturilor de social media este o alternativă la autentificarea tradițională. Le oferă utilizatorilor un mod convenabil de a se loga fără a folosi un nume de utilizator și o parolă. Majoritatea site-urilor web oferă o autentificare folosind platformele de social media ca: Facebook, LinkedIn, Twitter sau Google Plus. Cercetătorii Bitdefender au găsit o modalitate de a fura identitatea utilizatorului și a obține acces la toate conturile sale web, folosind plugin-ul de logare al Facebook.

Ionut Cernica este cercetătorul Bitdefender care a descoperit vulnerabilitatea.

Pentru ca atacul să abiă succes, adresa de email a victimei nu trebuie să fie înregistrată pe Facebook. Dacă adresa de email a utilizatorului era publică pe un site web era suficient ca atacatorul să își facă un cont folosind această adresă de email.

Pentru a verifica autenticitatea utilizatorului fără a-i expune datele de autentificare, Facebook folosește protocolul OAuth. Prin acest protocol, Facebook este autorizată să împărtășească unele informații ale utilizatorului cu un alt site.

Iată cum funcționa vulnerabilitatea:

Cercetătorul Bitdefender a reușit să treacă de pasul de confirmare atunci când a creat un nou cont de Facebook folosind adresa de email a victimei. Apoi a schimbat adresa de email a victimei cu una personală. Când încercă să se logheze pe un website is se cere confirmarea adresei personale după care atacatorul setează adresa de email a victimei ca adresă principală de contact. Pe un alt site a folosit logarea prin intermediul Facebook pentru a se autentifica drept persoana căruia îi aparțin email-ul furat. Site-ul a asociat adresa de email a victimei contului nou creat și i-a permis atacatorului să controleze noul cont.

„Cel care oferă informațiile de identificare – în acest caz, Facebook – ar trebui să aștepte până când adresa de email a fost verificată,” spune Ionuț.

Facebook a rezolvat această vulnerabilitate după ce a fost anunțată de existența ei de către cercetătorul în securitate al Bitdefender.

Facebook a declarat pentr SCMagazine.com: „Această vulnerabilitate era dificil de exploatat la scară mare și nu includea compromiterea conturilor de Facebook sau a rețelelor companiei. Cu toate aceste, apreciem coordonarea lui Ionuț cu echipa noastră pentru rezolvarea rapidă a problemei.”

 

 

 

Share With:
Alte Recomandari