Acest site foloseste cookie-uri. Apasati butonul alaturat pentru o navigare cat mai usoara.
Daca folositi acest site, sunteti de acord cu utilizarea cookie-urilor.
X Acest site foloseste Cookies.
Continuarea navigarii implica acceptarea lor. Detalii aici

Vulnerabilitati la autentificarea pe Facebook. Hackerii au reusit sa sparga mai multe conturi

Vulnerabilitati la autentificarea pe Facebook. Hackerii au reusit sa sparga mai multe conturi
de la 28 Apr. 2016
Vulnerabilitati la autentificarea pe Facebook. Hackerii au reusit sa sparga mai multe conturi Tags: facebookautentificare facebookconturi facebook

Specialistii in securitate cibernetica ai Bitdefender au descoperit o vulnerabilitate in mecanismul de autentificare al Facebook, care le permitea atacatorilor sa fure identitatea anumitor utilizatori de internet si sa le acceseze majoritatea conturilor online unde se pot conecta prin Facebook.


Autentificarea prin retele sociale este o metoda alternativa de conectare la diverse conturi, care le ofera utilizatorilor o modalitate mai convenabila de a se inregistra fara a mai completa campurile de utilizator si parola. Cele mai multe site-uri permit conectarea prin Facebook, LinkedIn, Twitter sau Google Plus. Specialistii Bitdefender au gasit o modalitate prin care sa isi asocieze identitatea utilizatorului si sa contoleze neingradit conturile online ale acestuia.

„Folosind aceasta vulnerabilitate in sistemul de login via Facebook, atacatorii pot accesa majoritatea conturilor online ale utilizatorilor care permit autentificarea cu aceasta retea sociala. Asta inseamna ca atacatorii pot face plati in numele utilizatorilor pe site-urile magazinelor online, de exemplu”, spune Catalin Cosoi, Chief Security Strategist, Bitdefender.

Pentru ca atacul sa reuseasca, adresa de e-mail a victimei nu trebuie sa fie asociata deja unui cont de Facebook, insa pot fi folosite adrese alternative detinute de aceasta. De regula, utilizatorii detin mai mult de o adresa de e-mail, unele fiind publice pe internet si, deci, se afla la dispozitia oricarui raufacator. Pentru a verifica identitatea unui utilizator fara sa-i expuna datele de autentificare, Login prin Facebook foloseste protocolul OAuth, prin care autorizeaza tertii sa primeasca unele informatii despre utilizatori in momentul accesarii anumitor site-uri.

Cum functioneaza vulnerabilitatea

Cercetatorii Bitdefender au reusit sa ocoleasca etapa de confirmare, ceruta de regula in momentul inregistrarii pe un site cu o noua adresa de e-mail asociata unui cont Facebook. Mai intai, au creat un profil de Facebook, cu adresa de e-mail a victimei asociata diverselor conturi pe care le detine pe internet.



Fig. 1 Atacatorul creeaza un nou cont de Facebook folosind adresa de e-mail a victimei

Dupa ce au creat profilul Facebook cu adresa de e-mail apartinand victimei, au adaugat contului de Facebook si o adresa controlata de atacatori.



Fig. 2 Atacatorul inlocuieste adresa de e-mail a victimei cu propria adresa de e-mail

Dupa un refresh al paginii, e-mail-ul victimei este deja validat de Facebook. Cand incearca sa se autentifice pe o alta pagina folosind butonul Facebook Login cu adresa de e-mail a victimei, i se solicita sa confirme propria adresa e-mail, nu pe cea initiala, apartinand victimei.



Fig. 3 Atacatorului i se solicita sa confirme propria adresa de e-mail

In setarile contului de  Facebook, atacatorul stabileste propria adresa drept contact primar pentru cont in locul adresei de e-mail a victimei.



Fig. 4 Atacatorul pune adresa de e-mail a victimei drept contact primar

In consecinta, atacatorul se conecteaza cu succes la conturile online detinute de victima, inregistrate cu adresa de e-mail folosita de atacator sa creeze profilul Facebook, precum cele din magazine online, site-uri de rezervari, aplicatii personale, etc.  Partea care certifica identitatea – in acest caz, Facebook - ar fi trebuit sa astepte pana cand noua adresa de e-mail asociata contului de Facebook era verificata.

Jurnalist Manager.ro
5 ani de experienta in domeniul editorial
adresa de email: mariat@rs.ro

Ti-a placut acest articol?
Da Like, Printeaza sau trimite pe Email!
Cat de utila va este aceasta informatie?
Noteaza folosind stelele

Rating:


Nota: 4.08 din 5 - 6 voturi.

Alte articole similare pentru fiecare cuvant
click pe cuvantul dorit


Newsletter zilnic GRATUIT
Manager de succes - 6 strategii imbatabile
Aboneaza-te GRATUIT la Newsletter-ul Manager.ro pentru a primi cele mai proaspete informatii si analize referitoare la subiectele care te intereseaza!


Da, doresc să descarc GRATUIT cadoul si să primesc informaţii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton
Termeni si conditii de utilizare a site-ului Nota de informare
Top imagine

Comentarii

0 comentarii


Atentie! Pentru a activa formularul, trebuie sa raspundeti corect la intrebare!

Top imagine
Newsletter zilnic GRATUIT
Manager de succes - 6 strategii imbatabile
Aboneaza-te la newsletterul Manager.ro si primeste ultimele noutati pe email.

Va oferim CADOU un Raport Special Gratuit  "Manager de succes - 6 strategii imbatabile".

Consilier Managementul Deseurilor


Descarca Alerter Manager.ro



Cele mai citite stiri




Ultimele comentarii



Aboneaza-te la Newsletterul Gratuit.
Zilnic in Inboxul tau.
Din fericire, NU scriem despre
cancan, showbiz, lifestyle sau scandal.

Adauga e-mailul tau pentru Stiri din Romania reala, cu informatii zilnice, articole din economie, politic si administrativ.

Da, vreau sa primesc newsletterul zilnic.
Advertisement