ΑρχικήsecurityΠαραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Παραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Ο ερευνητής ασφάλειας, Stephen Sclafani, έχει ανακαλύψει μια κρίσιμη ευπάθεια στη δημοφιλή ιστοσελίδα κοινωνικής δικτύωσης, Facebook, που του επιτρέπει να παραβιάσει οποιονδήποτε λογαριασμό.

facebook security

Ο Stephen χρειάζεται απλά το όνομα χρήστη, ώστε να παραβιάσει έναν λογαριασμό και να διαβάσει την αλληλογραφία, να δει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, να δημιουργήσει ή να διαγράψει σημειώσεις κ.α.

Όπως εξηγεί στο blog του, μια εσφαλμένη ρύθμιση στο τελικό σημείο επιτρέπει την πραγματοποίηση νόμιμων κλήσεων REST API σε κάθε χρήστη στο Faceboοk, χρησιμοποιώντας μόνο το όνομα χρήστη τους.

Το Faceboοk REST API λέγεται ότι είναι προκάτοχος του διαθέσιμου Graph API. Κατάφερε να αποστείλει αίτημα στον server χρησιμοποιώντας αυτό το API, για να ενημερώσει την κατάσταση στον λογαριασμό του θύματος.

facebook hack Παραβίαση οποιουδήποτε λογαριασμού Facebook με τη χρήση REST API

Ο Stephen ανακάλυψε αυτή την ευπάθεια στις 23 Απριλίου και την ανέφερε στο Facebοok. Μετά την ενημέρωση το Facebοok επιδιόρθωσε προσωρινά το σφάλμα στις 30 Απριλίου. Το Facebοok επιβράβευσε τον ερευνητή δίνοντάς του αμοιβή 20.000 δολάρια για την εύρεση και αναφορά του bug.

Secnews.gr

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS