Măsurile de securitate insuficiente pentru validarea autentificării permit atacatorilor să fure identitatea anumitor utilizatori de internet și să le acceseze orice cont online fără a fi nevoie de o parolă, au precizat cei de la Bitdefender într-o postare pe blog.
Logarea cu ajutorul conturilor de social media este o alternativă la autentificarea tradițională. Le oferă utilizatorilor un mod convenabil de a se loga fără a folosi un nume de utilizator și o parolă. Majoritatea site-urilor web oferă o autentificare folosind platformele de social media ca: Facebook, LinkedIn, Twitter sau Google Plus. Cercetătorii Bitdefender au găsit o modalitate de a fura identitatea utilizatorului și a obține acces la toate conturile sale web, folosind plugin-ul de logare al Facebook.
Ionut Cernica este cercetătorul Bitdefender care a descoperit vulnerabilitatea.
Pentru ca atacul să abiă succes, adresa de email a victimei nu trebuie să fie înregistrată pe Facebook. Dacă adresa de email a utilizatorului era publică pe un site web era suficient ca atacatorul să își facă un cont folosind această adresă de email.
Pentru a verifica autenticitatea utilizatorului fără a-i expune datele de autentificare, Facebook folosește protocolul OAuth. Prin acest protocol, Facebook este autorizată să împărtășească unele informații ale utilizatorului cu un alt site.
Iată cum funcționa vulnerabilitatea:
Cercetătorul Bitdefender a reușit să treacă de pasul de confirmare atunci când a creat un nou cont de Facebook folosind adresa de email a victimei. Apoi a schimbat adresa de email a victimei cu una personală. Când încercă să se logheze pe un website is se cere confirmarea adresei personale după care atacatorul setează adresa de email a victimei ca adresă principală de contact. Pe un alt site a folosit logarea prin intermediul Facebook pentru a se autentifica drept persoana căruia îi aparțin email-ul furat. Site-ul a asociat adresa de email a victimei contului nou creat și i-a permis atacatorului să controleze noul cont.
„Cel care oferă informațiile de identificare – în acest caz, Facebook – ar trebui să aștepte până când adresa de email a fost verificată,” spune Ionuț.
Facebook a rezolvat această vulnerabilitate după ce a fost anunțată de existența ei de către cercetătorul în securitate al Bitdefender.
Facebook a declarat pentr SCMagazine.com: „Această vulnerabilitate era dificil de exploatat la scară mare și nu includea compromiterea conturilor de Facebook sau a rețelelor companiei. Cu toate aceste, apreciem coordonarea lui Ionuț cu echipa noastră pentru rezolvarea rapidă a problemei.”
Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…
Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…
La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…
Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…
Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…
Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…