Vulnerabilidade possibilita que os hackers roubem o “Access Token”, isso sem falar que também podem invadir a conta do banco de dados da vítima
Um especialista em segurança cibernética encontrou recentemente uma vulnerabilidade no recurso “Login with Facebook”. Segundo o especialista, a vulnerabilidade permite que os hackers roubem o “Access Token”, isso sem falar que também podem invadir a conta do banco de dados da vítima.
O Facebook usa o “OAuth 2.0” como um processo de verificação que ajuda a trocar tokens da rede social e dá permissão de acesso a terceiros.
A vulnerabilidade existe na opção “Login with Facebook”, a qual permite que hackers criem um site falso para trocar tokens de acesso por outros aplicativos. Depois que o hacker consegue sequestrar as contas usando os tokens de acesso, ele passa a ter acesso a dados pessoais que incluem mensagens privadas, fotos, vídeos e as credenciais de configuração da conta.
De acordo com Amol Baikar, especialista indiano em segurança cibernética que encontrou a vulnerabilidade, a falha permite que hackers explorem contas de usuário, que incluem Tinder, o próprio Facebook, Oculus, Spotify, Instagram, Netflix, etc. O hacker também pode obter acesso de terceiros aos aplicativos mencionados em “Opção de login com o Facebook”.
O Facebook percebeu essa vulnerabilidade pela primeira vez em dezembro do ano passado e imediatamente emitiu uma correção de segurança. Junto com isso, a empresa também anunciou uma recompensa de US$ 55 mil para quem encontrar a pessoa responsável, por meio do Bug Bounty Program. Diz-se que essa é a maior recompensa já oferecida para uma vulnerabilidade de invasão de suíte.
A empresa de segurança cibernética GBHackers fez as seguintes observações sobre a vulnerabilidade do Facebook:
1. Todos os aplicativos e credenciais de logon de aplicativos de terceiros (Access Token) podem ser expostos em alguns segundos, ao mesmo tempo;
2. A vulnerabilidade permite que o hacker assuma a conta do usuário no Facebook. Além disso, o hacker pode ler, escrever, editar e excluir seus dados;
3. O hacker também tem a opção de modificar suas configurações de privacidade na conta do Facebook;
4. Se um usuário visitar o site malicioso configurado pelo hacker, ele poderá perder seus tokens de acesso de terceiros;
5. Os tokens de acesso roubados de terceiros nunca expiram;
6. O invasor tem controle sobre a conta sequestrada do Facebook, mesmo depois que o usuário altera as credenciais de login. Com informações do site E Hacking News.