Te-ai inregistrat pe diverse site-uri cu profilul de Facebook? Hackerii ar putea face cumparaturi cu banii tai

Nu ai mai vrut sa-ti alegi o parola si un nume de utilizator, asa ca te-ai inregistrat cu profilul de Facebook pe anumite site-uri? Hackerii aveau deschisa o portita prin care puteau intra pentru a-ti fura datele personale si - de ce nu - sa faca cumparaturi pe banii tai.

Specialistii in securitate cibernetica de la Bitdefender au descoperit o vulnerabilitate in mecanismul de autentificare al Facebook, care le permitea atacatorilor sa fure identitatea anumitor utilizatori si sa le acceseze majoritatea conturilor online unde se pot conecta cu ajutorul profilului de pe reteaua sociala.

Autentificarea prin retele sociale este o metoda alternativa de conectare la diverse conturi, care le ofera utilizatorilor o modalitate mai convenabila de a se inregistra fara a mai completa campurile de utilizator si parola.

Cele mai multe site-uri permit conectarea prin retelele sociale, precum Facebook, LinkedIn, Twitter sau Google Plus.

Dar specialistii Bitdefender au gasit o modalitate prin care hackerii pot sa isi asocieze identitatea utilizatorului si sa contoleze neingradit conturile online ale acestuia, inclusiv cele de pe magazinele online.

Atentie pe ce dati click pe Facebook! A fost descoperita o noua escrocherie

"Folosind aceasta vulnerabilitate in sistemul de login via Facebook, atacatorii pot accesa majoritatea conturilor online ale utilizatorilor care permit autentificarea cu aceasta retea sociala. Asta inseamna ca atacatorii pot face plati in numele utilizatorilor pe site-urile magazinelor online, de exemplu", spune Catalin Cosoi, Chief Security Strategist la Bitdefender.

Pentru ca atacul sa reuseasca, adresa de e-mail a victimei nu trebuie sa fie asociata deja unui cont de Facebook, insa pot fi folosite adrese alternative detinute de aceasta. De regula, utilizatorii detin mai mult de o adresa de e-mail, unele fiind publice pe Internet si, deci, se afla la dispozitia oricarui raufacator.

Compania Facebook a remediat vulnerabilitatea dupa notificarea furnizata de catre cercetatorii Bitdefender.

Cum functioneaza vulnerabilitatea

Pentru a verifica identitatea unui utilizator fara sa-i expuna datele de autentificare, optiunea "Login prin Facebook" foloseste protocolul OAuth, prin care autorizeaza tertii sa primeasca unele informatii despre utilizatori in momentul accesarii anumitor site-uri.

Cercetatorii Bitdefender au reusit sa ocoleasca etapa de confirmare, ceruta de regula in momentul inregistrarii pe un site cu o noua adresa de e-mail asociata unui cont Facebook. Mai intai, au creat un profil de Facebook, cu adresa de e-mail a victimei asociata diverselor conturi pe care le detine pe internet.

Dupa ce au creat profilul Facebook cu adresa de e-mail apartinand victimei, au adaugat contului de Facebook si o adresa controlata de atacatori.

Dupa un refresh al paginii, e-mail-ul victimei este deja validat de Facebook. Cand incearca sa se autentifice pe o alta pagina folosind butonul Facebook Login cu adresa de e-mail a victimei, i se solicita sa confirme propria adresa e-mail, nu pe cea initiala, apartinand victimei.

In setarile contului de Facebook, atacatorul stabileste propria adresa drept contact primar pentru cont in locul adresei de e-mail a victimei.

In consecinta, atacatorul se conecteaza cu succes la conturile online detinute de victima, inregistrate cu adresa de e-mail folosita de atacator sa creeze profilul Facebook, precum cele din magazine online, site-uri de rezervari, aplicatii personale, etc.

Partea care certifica identitatea - in acest caz, Facebook - ar fi trebuit, in mod normal, sa astepte pana cand noua adresa de e-mail asociata contului de Facebook era verificata. Iar tocmai aceasta vulnerabilitate a fost identificata de Bitdfender si rezolvata ulterior de reteaua sociala.

C.P.

Cum obții o întâlnire cu bărbatul de 1.500 de miliarde de dolari: Ai nevoie de o idee și un om

Marii bogătași și finanțatori de la New York, Londra sau Hong Kong tânjesc chiar pentru o întâlnire de doar 10 minute cu unul dintre cei mai căutați bărbați din Orientul Mijlociu....

Qualcomm, acuzată că a manipulat rezultatele platformei X Plus

Qualcomm a anunțat recent lansarea noii platforme Snapdragon X Plus, destinată laptopurilor, promițând performanțe remarcabile, durată extinsă de viață a bateriei și capacități avansate...