Facebook порвался на старой "дыре"

У сотрудников Facebook в последнее время хватает работы по затыканию "дыр" в своём сервисе. Одна из последних уязвимостей позволяла удалять у пользователей этой социальной сети всех их "френдов".

История началась с того, что аналитик Alert Logic М.Дж. Кейт (M.J. Keith) опубликовал на сайте своей компании информацию о критической уязвимости Facebook, связанной с некорректно реализованной защитой от CSRF-атак (подделка межсайтовых запросов). Она заключалась в том, что со стороны сервера не осуществлялась проверка на существование специального "защитного" параметра "post_form_id".

Получив от Alert Logic информацию о "дыре", специалисты Facebook в течение нескольких дней её "залатали", поэтому Кейт со спокойной совестью предал эти сведения гласности.

Однако некий нью-йоркский студент Стивен Аббаньяро (Steven Abbagnaro) решил проверить, действительно ли Facebook устранил данную проблему. Поэкспериментировав немного с запросами, Аббаньяро выяснил, что по крайней мере в одном месте проверка на существование параметра "post_form_id" до сих пор не проводится.

Это позволило любознательному студенту создать вредоносный сайт, посетив который любой пользователь Facebook (будучи залогиненным, разумеется) тут же лишался всех своих "френдов". (Вот наглядное видео этого процесса.) К чести Аббаньяро следует заметить, что вредоносный сайт был создан им на локальном веб-сервере, однако опубликованной им информацией мог воспользоваться любой злоумышленник.

Он сообщил в Facbeook о проблеме ещё в минувшую среду, 19 мая. В субботу Аббаньяро обновил запись в своём блоге информацией о том, что 21 мая Facebook уже залатал "дыру". Правда, за это время история уже получила огласку — в частности на IDG News. Журналист этого издания Роберт Макмиллан (Robert McMillan) успел даже связаться с М.Дж. Кейтом по email, и тот признался, что буквально сражён наповал этими известиями.

Судя по всему, данной "дырой" так никто и не воспользовался — видимо, по той причине, что из неё трудно извлечь выгоду. Впрочем, порой вирусописатели терзают Facebook и без всякой выгоды: на прошлой неделе социальную сеть атаковал червь, который только и делал, что размножался, публикуя от имени юзеров статус-сообщения с вредоносной ссылкой. Атака была довольно оперативно отражена специалистами F-Secure.


Игорь Крейн, Вебпланета

Коды для вставки в блог\форум



Вспомним другие новости из этого раздела?


Internet и сети

←+Ctrl+→

Интересные новости
BrightLocal запустил инструмент для отслеживания локальной выдачи GoogleBrightLocal запустил инструмент для отслеживания локальной выдачи Google
Только 50% потребителей доверяют информации о компаниях в поисковых системахТолько 50% потребителей доверяют информации о компаниях в поисковых системах
Киев вошел в топ-50 самых «видеонаблюдаемых» городов мира. Камер на тысячу населения больше, чем в РимеКиев вошел в топ-50 самых «видеонаблюдаемых» городов мира. Камер на тысячу населения больше, чем в Риме
Amazon обвинили в манипулировании результатами поискаAmazon обвинили в манипулировании результатами поиска
Facebook удалил страницы изданий Znaj.ua, Politeka и HyserFacebook удалил страницы изданий Znaj.ua, Politeka и Hyser
Блок рекламы


Похожие новости

Посты в Instagram теперь можно планировать через Facebook Creator StudioПосты в Instagram теперь можно планировать через Facebook Creator Studio
Facebook удалил страницы изданий Znaj.ua, Politeka и HyserFacebook удалил страницы изданий Znaj.ua, Politeka и Hyser
Facebook тестирует новые функции для блогеров и публичных личностейFacebook тестирует новые функции для блогеров и публичных личностей
Facebook отключит Account Kit в марте 2020 годаFacebook отключит Account Kit в марте 2020 года
Facebook запускает сервис знакомств DatingFacebook запускает сервис знакомств Dating
В Facebook утечка — нашли 419 млн телефонных номеровВ Facebook утечка — нашли 419 млн телефонных номеров
Функция распознавания лиц в Facebook будет отключена по умолчаниюФункция распознавания лиц в Facebook будет отключена по умолчанию
Facebook тестирует скрытие количества лайков под постамиFacebook тестирует скрытие количества лайков под постами
Facebook больше не обещает бесплатное использованиеFacebook больше не обещает бесплатное использование
DuckDuckGo рассказал о нарушениях конфиденциальности в Google и FacebookDuckDuckGo рассказал о нарушениях конфиденциальности в Google и Facebook
Последние новости

Подгружаем последние новости