Użytkownicy poczty Gmail są narażeni na lukę w zabezpieczeniach, która może pozwolić na zhakowanie kont na portalu Facebook. Problem został ujawniony przez badacza Youssef Sammouda, który na swoim blogu ostrzegł przed używaniem danych logowania Gmaila do logowania się na Facebooku.
Badaczowi udało się przejąć konta użytkowników Facebooka, którzy zarejestrowali się za pomocą swoich danych logowania do Gmaila. Powiedział, że osiągnął to, używając Google OAuth id_token/code do zalogowania się na stronie. Sammouda wyjaśnił, że był w stanie wykorzystać przekierowania w Google OAuth, aby włamać się na konta. Google OAuth jest częścią standardu "Open Authorization" używanego przez m.in. Amazon, Microsoft, Twittera i umożliwia użytkownikom łączenie kont z witrynami stron trzecich poprzez logowanie się do nich przy użyciu istniejących nazw użytkownika i haseł, które już zarejestrowali u tych gigantów technologicznych. Technika ta może być również wykorzystana do hakowania innych kont, nie tylko Facebooka.
Luka w zabezpieczeniach w Google OAuth pozwala przejąć konto na Facebooku i innych platformach, jeśli wykorzystywana jest funkcja połączonych kont.
Dostawca zabezpieczeń Malwarebytes Labs wydał ostrzeżenie dla każdego, kto korzysta z połączonych kont: "Połączone konta zostały wynalezione, aby ułatwić logowanie", pisze Pieter Arntz, z Malware Intelligence. "Możesz użyć jednego konta, aby zalogować się do innych aplikacji, witryn i usług… Aby uzyskać dostęp do konta, wystarczy potwierdzić, że konto należy do Ciebie". "Nie zalecamy tego, ponieważ jeśli ktokolwiek zdobędzie jedno hasło, które kontroluje wszystkie, masz jeszcze większe kłopoty niż w przypadku złamania hasła tylko jednej witryny".
Istnieje jednak możliwość odłączenia konta od Facebooka. Przejdź do: Ustawienia i prywatność > Ustawienia > przycisk Centrum kont > Konta i profile. Podobny proces odłączania może być stosowany w witrynach innych firm, jeśli logowanie następuje z wykorzystaniem poświadczeń Amazon/Google/Microsoft/Twitter.
Facebook zapłacił Sammoudzie 44625 $ za odnalezienie i zgłoszenie luki. Firma oświadczyła, że zajmuje się problemem. Google jak dotąd nie skomentowało tych doniesień.
Pokaż / Dodaj komentarze do: Używasz tej funkcji Google? Możesz stracić konto na Facebooku