Facebook порвался на старой "дыре"

У сотрудников Facebook в последнее время хватает работы по затыканию "дыр" в своём сервисе. Одна из последних уязвимостей позволяла удалять у пользователей этой социальной сети всех их "френдов".

История началась с того, что аналитик Alert Logic М.Дж. Кейт (M.J. Keith) опубликовал на сайте своей компании информацию о критической уязвимости Facebook, связанной с некорректно реализованной защитой от CSRF-атак (подделка межсайтовых запросов). Она заключалась в том, что со стороны сервера не осуществлялась проверка на существование специального "защитного" параметра "post_form_id".

Получив от Alert Logic информацию о "дыре", специалисты Facebook в течение нескольких дней её "залатали", поэтому Кейт со спокойной совестью предал эти сведения гласности.

Однако некий нью-йоркский студент Стивен Аббаньяро (Steven Abbagnaro) решил проверить, действительно ли Facebook устранил данную проблему. Поэкспериментировав немного с запросами, Аббаньяро выяснил, что по крайней мере в одном месте проверка на существование параметра "post_form_id" до сих пор не проводится.

Это позволило любознательному студенту создать вредоносный сайт, посетив который любой пользователь Facebook (будучи залогиненным, разумеется) тут же лишался всех своих "френдов". (Вот наглядное видео этого процесса.) К чести Аббаньяро следует заметить, что вредоносный сайт был создан им на локальном веб-сервере, однако опубликованной им информацией мог воспользоваться любой злоумышленник.

Он сообщил в Facbeook о проблеме ещё в минувшую среду, 19 мая. В субботу Аббаньяро обновил запись в своём блоге информацией о том, что 21 мая Facebook уже залатал "дыру". Правда, за это время история уже получила огласку — в частности на IDG News. Журналист этого издания Роберт Макмиллан (Robert McMillan) успел даже связаться с М.Дж. Кейтом по email, и тот признался, что буквально сражён наповал этими известиями.

Судя по всему, данной "дырой" так никто и не воспользовался — видимо, по той причине, что из неё трудно извлечь выгоду. Впрочем, порой вирусописатели терзают Facebook и без всякой выгоды: на прошлой неделе социальную сеть атаковал червь, который только и делал, что размножался, публикуя от имени юзеров статус-сообщения с вредоносной ссылкой. Атака была довольно оперативно отражена специалистами F-Secure.