Проблема содержится в функции входа через Facebook, использующей протокол авторизации OAuth 2.0.
Исследователь безопасности Амол Байкар обнаружил критическую уязвимость в протоколе авторизации OAuth социальной сети
Facebook. Уязвимость существует около 10 лет, и ее эксплуатация
позволяет злоумышленникам взломать любую учетную запись в Facebook.
Проблема содержится в функции «Войти через Facebook» («Login with
Facebook»), использующей протокол авторизации OAuth 2.0 для обмена
токенами между соцсетью и другими web-сайтами.
Удаленный
преступник может настроить вредоносный web-сайт для перехвата трафика
OAuth и похитить токены авторизации, предоставляющие доступ к учетным
записям целевых пользователей Facebook.
После успешной
эксплуатации уязвимости злоумышленник может отправлять сообщения,
публиковать что-либо в ленте, изменять данные учетной записи, удалять
сообщения и многое другое от имени жертвы. Преступник может перехватить
контроль над другими учетными записями, включая Instagram, Oculus, а
также Netflix, Tinder, Spotify и пр.
Пользователям Facebook рекомендуется сменить пароль для учетной записи в соцсети и выйти из аккаунтов на всех устройствах.
Байкар сообщил Facebook об обнаруженной уязвимости, и компания выплатила исследователю вознаграждение в размере $55 тыс.