Facebook zlikwidował lukę w zabezpieczeniach dzięki współpracy hinduskim programistą

Problem związany z luką dotyczył ogromnej liczby osób.

Facebook prowadzi specjalny program dla programistów, którzy poprzez odkrycie błędów w kodzie mogą otrzymać sporo pieniędzy. Amol Baikar, jeden z ekspertów zauważył poważną lukę w zabezpieczeniach platformy. Dzięki jej wykryciu i poinformowaniu o tym przedstawicieli portalu społecznościowego zdobył aż 55 tysięcy dolarów. Problem dotyczył funkcji “Zaloguj się przez Facebook”. 

Jeszcze w grudniu ubiegłego roku hinduski badacz bezpieczeństwa zauważył, że funkcja “zaloguj się przez Facebooka” zawiera lukę. Chodzi o to, że haker mógłby przejąć kontrolę nad przepływem OAuth, co spowodowałoby kradzież tokenów dostępu użytkownika. Cyberprzestępca musiałby jedynie wysłać swojej ofierze złośliwy link. Po kliknięciu nieświadomy użytkownik przekazałby takim sposobem tokeny dostępu. W efekcie haker uzyskałby dostęp do konta takiej osoby. Eksperci do spraw bezpieczeństwa potwierdzili ten problem w Facebooku w przeciągu kilku godzin od przesłania raportu. Następnie po jakimś czasie opublikowana została poprawka mająca na celu zlikwidowanie luki. 

- Bardzo się cieszę, że jestem częścią zespołu odpowiedzialnego za wykrywanie luk. Mam nadzieję, że moja praca poprawi bezpieczeństwo użytkowników - napisał odkrywca problemu, Amol Baikar na swoim blogu.

- Rozwiązaliśmy problem i nie mamy żadnych dowodów, które potwierdzają użycie tej luki przez cyberprzestępców. Jesteśmy również wdzięczni za pomoc Amola Baikar, dzięki któremu problem został szybko wykryty i zlikwidowany z naszej platformy - poinformował Facebook.

 

Problem związany z luką dotyczył tak naprawdę ogromnej liczby osób. Dlaczego? API “zaloguj się przez Facebooka” jest używane na wielu portalach, ponieważ pozwala on na szybką rejestrację użytkownika, który nie musi wpisywać wszystkich danych aby utworzyć konto. Oczywiście osoby takie jak Amol Baikar, a także eksperci do spraw bezpieczeństwa pracują cały czas nad wykrywaniem luk w serwisie Facebook. Pamiętajmy, że programiści, którzy tworzą kod tego serwisu społecznościowego to tylko ludzie. Mogą więc popełniać błędy. Najważniejsza jest szybka wykrywalność i zlikwidowanie problemu jeszcze przed odkryciem takowego przez cyberprzestępców. 

- Na przykładzie tej wiadomości możemy zobaczyć jak łatwo paść ofiarą cyberprzestępców. Nikomu nie chce się wpisywać kolejnych danych podczas rejestracji nowego użytkownika na łamach jakiegokolwiek portalu. Wolimy szybkie logowania, zarówno te przez Google’a jak i Facebooka. Niestety przez luki w kodzie ktoś może szybko uzyskać dostęp do naszego konta w serwisie społecznościowym. Jak się ustrzec przed taką sytuacją? Przede wszystkim korzystajmy z wielu różnych i przede wszystkim skomplikowanych haseł. Dodatkowo warto je co jakiś czas zmieniać - sugeruje Mariusz Politowicz ekspert ds. bezpieczeństwa w Bitdefender.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"