“Đăng ký hoặc Đăng nhập bằng Facebook“?? Bạn có thể suy nghĩ kỹ trước khi làm điều đó vào lần tới. Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng cho phép tin tặc chiếm đoạt tài khoản Facebook trên các trang web sử dụng ‘Đăng nhập Facebook‘ tính năng.
Lỗ hổng này không cấp cho tin tặc quyền truy cập vào mật khẩu Facebook thực của bạn, nhưng nó cho phép chúng truy cập vào tài khoản của bạn bằng ứng dụng Facebook được phát triển bởi các trang web bên thứ ba như bit.ly, Có thể trộn, Vimeo, Về tôi, vấp ngã, thiên thần.co và có thể nhiều hơn nữa.
LỖI KHAI THÁC BA CSRF BẢO VỆ
Egor Homakovmột nhà nghiên cứu của công ty kiểm thử Sakurity, đã cho gã khổng lồ mạng xã hội biết về lỗi này một năm trước, nhưng công ty đã từ chối sửa lỗ hổng vì làm như vậy sẽ làm hỏng khả năng tương thích của Facebook với một số lượng lớn các trang web trên Internet.
- Đăng nhập Facebook
- Đăng xuất Facebook
- Kết nối tài khoản của bên thứ ba
Hai vấn đề đầu tiên “có thể được sửa bởi Facebook,” Homakov nói, nhưng chưa làm được. Tuy nhiên, cái thứ ba cần được khắc phục bởi chủ sở hữu trang web, những người đã tích hợp “Đăng nhập Facebook” tính năng vào trang web của họ.
CÔNG CỤ HACK TÀI KHOẢN FACEBOOK
Do đó, việc đổ lỗi cho Facebook về tình trạng bảo mật tồi tệ trong ‘Đăng nhập Facebook‘ tính năng, nhà nghiên cứu đã phát hành công khai một công cụ, được đặt tên là KẾT NỐI LẠIkhai thác lỗi và cho phép tin tặc tạo các URL có thể được sử dụng để chiếm đoạt tài khoản trên các trang web của bên thứ ba sử dụng ‘Đăng nhập Facebook‘ cái nút.
“Đi mũ đen, đừng ngại!“ Homakov đã viết trên Twitter của mình, bị cáo buộc khuyến khích tin tặc và tội phạm mạng hưởng lợi từ công cụ sẵn sàng sử dụng của mình.
Homakov cũng đã xuất bản một bài đăng trên blog cung cấp cho tin tặc quy trình từng bước để thiết lập tài khoản Facebook giả mạo mà nạn nhân được chuyển hướng đến khi họ bị lừa nhấp vào các URL độc hại do kẻ tấn công cung cấp.
“Bây giờ tài khoản Facebook của chúng tôi được kết nối với tài khoản nạn nhân trên trang web đó và chúng tôi có thể đăng nhập trực tiếp vào tài khoản đó để thay đổi email/mật khẩu, hủy đặt chỗ, đọc tin nhắn riêng tư, v.v.” Homakov đã viết trong một bài đăng trên blog.
Tuy nhiên, bất kỳ trang web nào hỗ trợ ‘Đăng nhập Facebook‘ có thể bị tấn công bằng cách chèn thủ công liên kết của nó vào công cụ tạo yêu cầu đăng nhập Facebook thay mặt người dùng.
LÀM THẾ NÀO ĐỂ BẢO VỆ MÌNH?
Người ta có thể nhận ra hậu quả nguy hiểm của công cụ hack RECONNECT Facebook bằng cách tính toán xem có bao nhiêu trang web trên Internet sử dụng màu xanh lam đó’ f ‘ nút đăng nhập Facebook. Và một khi tin tặc tìm cách truy cập vào tài khoản của bạn, họ có thể truy cập thông tin cá nhân của bạn và sử dụng chúng để xâm nhập vào các tài khoản trực tuyến khác của bạn.
Vì vậy, để ngăn tài khoản của bạn khỏi tin tặc độc hại, Không bấm vào trên bất kỳ URL đáng ngờ nào được cung cấp cho bạn qua tin nhắn trực tuyến, email hoặc tài khoản mạng xã hội. Và hãy luôn cẩn thận khi lướt Internet.
FACEBOOK GIẢI ĐÁP VỀ VẤN ĐỀ
Facebook cho biết họ đã nhận thức được vấn đề này một thời gian và các trang web của bên thứ ba có thể bảo vệ người dùng của họ bằng cách sử dụng các phương pháp hay nhất của Facebook khi sử dụng tính năng đăng nhập Facebook.
Người phát ngôn của Facebook đã đưa ra một tuyên bố cho biết, “Đây là một hành vi được hiểu rõ. Các nhà phát triển trang web sử dụng Đăng nhập có thể ngăn chặn sự cố này bằng cách làm theo các phương pháp hay nhất của chúng tôi và sử dụng thông số ‘trạng thái’ mà chúng tôi cung cấp cho Đăng nhập OAuth.”
Công ty cũng nói thêm rằng họ cũng đã thực hiện nhiều thay đổi khác nhau để giúp ngăn đăng nhập CSRF và đang đánh giá những người khác trong khi “nhằm duy trì chức năng cần thiết cho một số lượng lớn các trang web dựa vào Đăng nhập Facebook.”
