Информация системы регистрации Facebook могла быть использована на ресурсах где активна функция Social Login, в том случае, если бы злоумышленник выяснил о наличии у жертвы взлома постоянно используемого электронного ящика, который не был задействован в процессе регистрации в социальной сети.
Процесс захвата аккаунта осуществлялся следующим образом. Хакер создает профиль в Facebook при помощи электронного адреса пользователя, который уже зарегистрирован в соцсети. Далее в процессе подтверждения личности, злоумышленник добавляет в новый аккаунт уже свой адрес как запасной. После этого хакер сменил бы уже основной электронный адрес на свой собственный и отправил запрос подтверждения аккаунта. Система Facebook высылала на почтовый ящик письмо со ссылкой на страницу подтверждения аккаунта. В этом случает злоумышленник снова сменил бы основной и запасной адреса. После этого система безопасности Facebook рассматривала бы аккаунт как подтверждённый, несмотря на то, что использовалась только второстепенная почта.
Также, в том случае, если бы у пользователя были зарегистрированы аккаунты в интернет-магазинах или порталах по управлению бизнесом, со включенной функцией Social Login, хакеры могли бы автоматически входить на такие сайты при помощи собственного профиля в Facebook. В данном случае ни Facebook, ни ресурс с Social Login рассматривали бы злоумышленника как пользователя взломанной страницы.
Сообщается, сотрудники BitDefender выявили данный просчёт в системе безопасности социальной сети и ошибка была немедленно исправлена.
Также читайте: