Specialiştii în securitate cibernetică ai Bitdefender au descoperit o vulnerabilitate în mecanismul de autentificare al Facebook, care le permitea atacatorilor să fure identitatea anumitor utilizatori de internet şi să le acceseze majoritatea conturilor online unde se pot conecta prin reţeaua de socializare, se arată într-un comunicat de presă al companiei remis, marţi, AGERPRES.
‘Folosind această vulnerabilitate în sistemul de login via Facebook, atacatorii pot accesa majoritatea conturilor online ale utilizatorilor care permit autentificarea cu această reţea socială. Asta înseamnă că atacatorii pot face plăţi în numele utilizatorilor pe site-urile magazinelor online, de exemplu’, a declarat Cătălin Coşoi, Chief Security Strategist, Bitdefender.
Potrivit comunicatului, autentificarea prin reţele sociale este o metodă alternativă de conectare la diverse conturi, care le oferă utilizatorilor o modalitate mai convenabilă de a se înregistra fără a mai completa câmpurile de utilizator şi parolă. Cele mai multe site-uri permit conectarea prin Facebook, LinkedIn, Twitter sau Google Plus.
‘Pentru ca atacul să reuşească, adresa de e-mail a victimei nu trebuie să fie asociată deja unui cont de Facebook, însă pot fi folosite adrese alternative deţinute de aceasta. De regulă, utilizatorii deţin mai mult de o adresă de e-mail, unele fiind publice pe internet şi, deci, se află la dispoziţia oricărui răufăcător. Pentru a verifica identitatea unui utilizator fără să-i expună datele de autentificare, Login prin Facebook foloseşte protocolul OAuth, prin care autorizează terţii să primească unele informaţii despre utilizatori în momentul accesării anumitor site-uri’, se arată în comunicat.
Cercetătorii Bitdefender au reuşit să ocolească etapa de confirmare, cerută de regulă în momentul înregistrării pe un site cu o nouă adresă de e-mail asociată unui cont Facebook.
‘Mai întâi, au creat un profil de Facebook, cu adresa de e-mail a victimei asociată diverselor conturi pe care le deţine pe internet. După ce au creat profilul Facebook cu adresa de e-mail aparţinând victimei, au adăugat contului de Facebook şi o adresă controlată de atacatori. După un refresh al paginii, e-mail-ul victimei este deja validat de Facebook. Când încearcă să se autentifice pe o altă pagină folosind butonul Facebook Login cu adresa de e-mail a victimei, i se solicită să confirme propria adresă e-mail, nu pe cea iniţială, aparţinând victimei. În setările contului de Facebook, atacatorul stabileşte propria adresă drept contact primar pentru cont în locul adresei de e-mail a victimei’, menţionează Bitdefender.
În consecinţă, spune compania, atacatorul se conectează cu succes la conturile online deţinute de victimă, înregistrate cu adresa de e-mail folosită de atacator să creeze profilul Facebook, precum cele din magazine online, site-uri de rezervări, aplicaţii personale, etc.
‘Partea care certifică identitatea – în acest caz, Facebook – ar fi trebuit să aştepte până când noua adresă de e-mail asociată contului de Facebook era verificată. Compania Facebook a remediat vulnerabilitatea după notificarea furnizată de către cercetătorii Bitdefender’, informează compania.
