Уязвимость в Facebook привела к захвату контроля над 50 миллионами учетных записей
Facebook раскрыл сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учетных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.
Получение контроля за учетными записями третьим лицом стало возможным благодаря выявлению трех ошибок, по отдельности не представляющих опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Данная проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он все же показывается, например, при наличии предложения отправить поздравление о дне рождения.
Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что дает заметно больше прав, чем необходимо для использования функциональности единой точки входа.
Третья ошибка проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключен, но из-за первой ошибки, его отображение все же становится возможным. При показе в режиме "View As" загрузчик создает токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен создается не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница.
Таким образом атакующий может получить токены доступа к учетной записи сторонних пользователей, просматривая определенным образом оформленный пост глазами других участников при помощи режима "View As". Атака была выявлена после анализа всплеска аномальной активности. В настоящее время Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме для просмотрщика видео (подверженным атаке пользователям потребуется перезайти в свой аккаунт).