Luka w zabezpieczeniach Facebooka zlikwidowana, dzięki ekspertowi z Indii

Facebook prowadzi specjalny program dla programistów, którzy poprzez odkrycie błędów w kodzie mogą otrzymać sporo pieniędzy. Amol Baikar, jeden z ekspertów zauważył poważną lukę w zabezpieczeniach platformy. Dzięki jej wykryciu i poinformowaniu o tym przedstawicieli portalu społecznościowego zdobył aż 55 tysięcy dolarów. Problem dotyczył funkcji “Zaloguj się przez Facebook”.

Jeszcze w grudniu ubiegłego roku hinduski badacz bezpieczeństwa zauważył, że funkcja “zaloguj się przez Facebooka” zawiera lukę. Chodzi o to, że haker mógłby przejąć kontrolę nad przepływem OAuth, co spowodowałoby kradzież tokenów dostępu użytkownika. Cyberprzestępca musiałby jedynie wysłać swojej ofierze złośliwy link. Po kliknięciu nieświadomy użytkownik przekazałby takim sposobem tokeny dostępu. W efekcie haker uzyskałby dostęp do konta takiej osoby. Eksperci do spraw bezpieczeństwa potwierdzili ten problem w Facebooku w przeciągu kilku godzin od przesłania raportu. Następnie po jakimś czasie opublikowana została poprawka mająca na celu zlikwidowanie luki.

Odkrywca problemu, Amol Baikar na swoim blogu umieścił informację: “Bardzo się cieszę, że jestem częścią zespołu odpowiedzialnego za wykrywanie luk. Mam nadzieję, żę moja praca poprawi bezpieczeństwo użytkowników .”. Z kolei Facebook poinformował, że: “Rozwiązaliśmy problem i nie mamy żadnych dowodów, które potwierdzają użycie tej luki przez cyberprzestępców. Jesteśmy również wdzięczni za pomoc Amola Baikar, dzięki któremu problem został szybko wykryty i zlikwidowany z naszej platformy.”.

Problem związany z luką dotyczył tak naprawdę ogromnej liczby osób. Dlaczego? API “zaloguj się przez Facebooka” jest używane na wielu portalach, ponieważ pozwala on na szybką rejestrację użytkownika, który nie musi wpisywać wszystkich danych aby utworzyć konto. Oczywiście osoby takie jak Amol Baikar, a także eksperci do spraw bezpieczeństwa pracują cały czas nad wykrywaniem luk w serwisie Facebook. Pamiętajmy, że programiści, którzy tworzą kod tego serwisu społecznościowego to tylko ludzie. Mogą więc popełniać błędy. Najważniejsza jest szybka wykrywalność i zlikwidowanie problemu jeszcze przed odkryciem takowego przez cyberprzestępców.

“Na przykładzie tej wiadomości możemy zobaczyć jak łatwo paść ofiarą cyberprzestępców. Nikomu nie chce się wpisywać kolejnych danych podczas rejestracji nowego użytkownika na łamach jakiegokolwiek portalu. Wolimy szybkie logowania, zarówno te przez Google’a jak i Facebooka. Niestety przez luki w kodzie ktoś może szybko uzyskać dostęp do naszego konta w serwisie społecznościowym. Jak się ustrzec przed taką sytuacją? Przede wszystkim korzystajmy z wielu różnych i przede wszystkim skomplikowanych haseł. Dodatkowo warto je co jakiś czas zmieniać. O korzystaniu z oprogramowania dbającego o nasze bezpieczeństwo nawet nie wspominam, ponieważ to oczywiste.” - sugeruje Mariusz Politowicz ekspert ds. bezpieczeństwa w Bitdefender