Problemele cu securitatea nu sunt rezervate doar browserelor web sau aplicaţiilor dubioase din Play Store, găsim breşe inclusiv în Facebook. Cercetătorul în securitate Youseff Sammouda a descoperit că autentificarea în Facebook cu un cod Gmail OAuth face contul foarte uşor de spart.
Cercetătorul mai sus menţionat scrie că legarea codului de autentificare Gmail OAuth cu vulnerabilităţi din Facebook i-au permis să hackuiască o serie de conturi Facebook foarte uşor. Problema stă în faptul că utilizatorii se logau cu credențialele Gmail. Sammouda a folosit redirect-uri în Google OAuth şi le-a legat cu elemente din logout-ul Facebook, sisteme checkpoint şi sandbox pentru a sparge conturile.
El a explicat şi că a făcut doar o demonstraţie cu credențiale Gmail, dar consideră că e posibil să targeteze toţi utilizatorii Facebook. Sursa afirmă că a fost plătită de Facebook cu o recompensă de 44.625 dolari pentru că a găsit acest bug în februarie. În martie a venit un patch, dar dezvăluirea bug-ului s-a făcut de abia acum, în mai.
Pentru cei care se întreabă ce este OAuth, e vorba despre Open Authorization, un standard deschis adoptat de giganţii tech, precum Amazon, Microsoft, Twitter, Google şi alţii. El permite legarea contului existent la o companie din big tech cu un site third party, folosind credențialele pentru a te loga. Nu ai nevoie de cont nou.
Mulţi se loghează cu contul Google sau Facebook în jocuri de exemplu şi la fel şi în diferite site-uri. Problema e că dacă ai 10 site-uri conectate la un cont Google, dacă un site e vulnerabil, hackerii pot prelua brusc parola de la 10 conturi ale tale, plus cel Google. Sunt ghiduri multiple despre exploit-urile OAuth deja. Partea bună e că poţi face unlink la conturi, iar în cazul lui Facebook intraţi în Settings & Privacy, Settings, Accounts Center, Accounts & Profiles.
