Facebook порвался на старой "дыре"

У сотрудников Facebook в последнее время хватает работы по затыканию "дыр" в своём сервисе. Одна из последних уязвимостей позволяла удалять у пользователей этой социальной сети всех их "френдов".

История началась с того, что аналитик Alert Logic М.Дж. Кейт (M.J. Keith) опубликовал на сайте своей компании информацию о критической уязвимости Facebook, связанной с некорректно реализованной защитой от CSRF-атак (подделка межсайтовых запросов). Она заключалась в том, что со стороны сервера не осуществлялась проверка на существование специального "защитного" параметра "post_form_id".

Получив от Alert Logic информацию о "дыре", специалисты Facebook в течение нескольких дней её "залатали", поэтому Кейт со спокойной совестью предал эти сведения гласности.

Однако некий нью-йоркский студент Стивен Аббаньяро (Steven Abbagnaro) решил проверить, действительно ли Facebook устранил данную проблему. Поэкспериментировав немного с запросами, Аббаньяро выяснил, что по крайней мере в одном месте проверка на существование параметра "post_form_id" до сих пор не проводится.

Это позволило любознательному студенту создать вредоносный сайт, посетив который любой пользователь Facebook (будучи залогиненным, разумеется) тут же лишался всех своих "френдов". (Вот наглядное видео этого процесса.) К чести Аббаньяро следует заметить, что вредоносный сайт был создан им на локальном веб-сервере, однако опубликованной им информацией мог воспользоваться любой злоумышленник.

Он сообщил в Facbeook о проблеме ещё в минувшую среду, 19 мая. В субботу Аббаньяро обновил запись в своём блоге информацией о том, что 21 мая Facebook уже залатал "дыру". Правда, за это время история уже получила огласку — в частности на IDG News. Журналист этого издания Роберт Макмиллан (Robert McMillan) успел даже связаться с М.Дж. Кейтом по email, и тот признался, что буквально сражён наповал этими известиями.

Судя по всему, данной "дырой" так никто и не воспользовался — видимо, по той причине, что из неё трудно извлечь выгоду. Впрочем, порой вирусописатели терзают Facebook и без всякой выгоды: на прошлой неделе социальную сеть атаковал червь, который только и делал, что размножался, публикуя от имени юзеров статус-сообщения с вредоносной ссылкой. Атака была довольно оперативно отражена специалистами F-Secure.


Игорь Крейн, Вебпланета

Коды для вставки в блог\форум




Интересные новости
Правоохранители выявили сайт, собиравший персональные данные украинцев (фото)Правоохранители выявили сайт, собиравший персональные данные украинцев (фото)
Facebook сохранит удаленку после пандемииFacebook сохранит удаленку после пандемии
ProZorro ищет "белых" хакеров для поиска уязвимостей в системеProZorro ищет "белых" хакеров для поиска уязвимостей в системе
Минцифры возобновило диалог с PayPalМинцифры возобновило диалог с PayPal
В "Киевстар" сообщили о масштабном сбое в работе домашнего интернетаВ "Киевстар" сообщили о масштабном сбое в работе домашнего интернета
Блок рекламы


Похожие новости

Facebook сохранит удаленку после пандемииFacebook сохранит удаленку после пандемии
Конкурент Amazon. Facebook запустит новую функцию для онлайн-магазиновКонкурент Amazon. Facebook запустит новую функцию для онлайн-магазинов
Facebook выплатит модераторам $52 млн компенсаций за полученные на работе психологические травмыFacebook выплатит модераторам $52 млн компенсаций за полученные на работе психологические травмы
Facebook за 2,5 месяца удалил 2,5 миллиона постов про коронавирусFacebook за 2,5 месяца удалил 2,5 миллиона постов про коронавирус
Сотрудники Google, Facebook и других гигантов будут работать из дому до конца годаСотрудники Google, Facebook и других гигантов будут работать из дому до конца года
Facebook удалил около 100 связанных с Россией учетных записейFacebook удалил около 100 связанных с Россией учетных записей
Facebook отчитался о самом низком росте выручки с момента основания компанииFacebook отчитался о самом низком росте выручки с момента основания компании
Facebook анонсировал новую функцию для видеозвонков до 50 человекFacebook анонсировал новую функцию для видеозвонков до 50 человек
Facebook купила долю индийского оператора связи Reliance JioFacebook купила долю индийского оператора связи Reliance Jio
Facebook позволил помечать компании как "временно закрытые"Facebook позволил помечать компании как "временно закрытые"
Последние новости

Подгружаем последние новости