У Facebook знайшли "діру" для зламування акаунтів
Програмне забезпечення соціальної мережі Facebook має уразливе місце, через яке можна отримати доступ до деяких акаунтів без введення пароля, пише Hacker News.
Повідомляється, що за допомогою спеціально отриманого запиту можна навіть через пошукові результати в Google розкрити акаунти користувачів. За оцінками фахівців, під ударом знаходяться близько 1,32 млн облікових записів.
Також ця атака дозволяє розкривати email-адреси користувачів, зазначені в базі Facebook. Для того, щоб отримувати доступ до акаунтів користувача, необхідно мати хоча б один акаунт з чинним паролем і зайти в систему під ним.
Після цього за допомогою спеціально сконструйованого запиту можна буде відкривати облікові записи інших користувачів. Однак автори атаки кажуть, що даним методом можна зламати далеко не всі облікові записи.
За словами фахівців, проблема у Facebook криється в парсінгу пошукових запитів з боку серверного програмного забезпечення соцмережі.
Популяризується ця атака за допомогою розміщення спеціалізованих гіперпосилань на стінах користувачів, дані посилання часто потрапляють в пошукові індекси. Відповідно, інтернет-пошуковики, переходячи по посиланнях, індексують закриті дані користувача.
Вищеописаним способом у відкритому доступі виявилися вже більше мільйона акаунтів користувачів, причому багато які з них належать користувачам з Китаю і Росії.
У заяві Facebook говориться, що технічні служби соцмережі ведуть роботи з усунення вразливості.
Сьогодні ж Facebook під тиском ірландського регулятора внесла низку змін, що стосуються приватності користувачів.
В Facebook спочатку планували зробити ці зміни тільки для Ірландії, але пізніше було вирішено реалізувати їх глобально (вони не працюють тільки в США і Канаді).
Нова система безпеки дозволить більш детально налаштувати зовнішній доступ до даних користувачів, зокрема в Хроніці, а також розмежовувати, як саме акаунт працює з рештою інтернету і веб-додатками.
