Alat RECONNECT koristi bag u web sajtovima sa opcijom ''Prijavi se sa Facebook nalogom''
Društvene mreže, 12.03.2015, 00:30 AM
![Alat RECONNECT koristi bag u web sajtovima sa opcijom ''Prijavi se sa Facebook nalogom''](/thumbs/v1_7636_reconnect.png)
Igor Homakov, istraživač iz kompanije Sakurity otkrio je kritični bezbednosni propust koji omogućava hakerima da preotmu Facebook naloge na web sajtovima koji koriste funkciju “Prijavi se preko Facebooka”.
Ranjivost ne omogućava hakerima pristup lozinki Facebook naloga, ali im omogućava pristup nalogu pomoću Facebook aplikacije third-party web sajtova kao što su Bit.ly, Mashable, Vimeo, About.me i drugih.
Homakov je o propustu obavestio Facebook pre godinu dana, ali je kompanija odbila da ga ispravi jer bi to ugrozilo kompatibilnost Facebooka sa većinom web sajtova.
Kritični propust koji je otkrio Homakov koristi nedostatak CSRF (Cross-Site Request Forgery) zaštite za tri procesa: prijavljivanje, odjavljivanje i i prijavljivanje na druge sajtove sa Facebook nalogom.
Prva dva problema mogao je da reši Facebook, ali prema rečima Homakova, to još uvek nije učinjeno. Međutim, ovo poslednje moraju da reše vlasnici web sajtova koji korisnicima nude opciju “Login with Facebook”.
Zbog toga što Facebook nije želeo da ispravi ovaj propust, Homakov je objavio alat, nazvan RECONNECT, koji iskorišćava propust i omogućava hakerima da generišu URL-ove koji se mogu koristiti za preotimanje naloga na sajtovima koji koriste “Login with Facebook” dugme.
Homakov je objavio i post na blogu u kome je hakerima objasnio korak po korak kako je moguće iskoristiti ovaj propust, koji im može omogućiti da promene email i lozinku na hakovanom Facebook nalogu, da čitaju privatne poruke korisnika i mnogo toga još.
Kada potencijalne žrtve kliknu na URL-ove, one se odjavljuju sa svojih Facebook naloga i prijavljuju na lažne naloge na društvenim mrežama koje kreiraju napadači. U isto vreme, nalozi žrtava na web sajtovima koji koriste “Login with Facebook” se povezuju sa tim lažnim nalozima.
Svaki web sajt koji podržava “Login with Facebook” može biti hakovan ručnim ubacivanjem linka u alat koji generiše Facebook login zahteve u ime korisnika.
![Acronis](/s2.png)
Izdvojeno
Meta uklonila 63.000 Instagram naloga povezanih sa seksualnom iznudom
![Meta uklonila 63.000 Instagram naloga povezanih sa seksualnom iznudom](/thumbs/v2_4809_screenshot-about.fb.com-2024.07.png)
Meta je obrisala 63.000 Instagram naloga iz Nigerije koji su bili umešani u prevare i seksualne ucene, među kojima i mrežu od 2.500 naloga povezani... Dalje
Meti dat rok do septembra da odgovori na zabrinutost EU zbog primoravanja korisnika da plaćaju svoje pravo na privatnost
![Meti dat rok do septembra da odgovori na zabrinutost EU zbog primoravanja korisnika da plaćaju svoje pravo na privatnost](/thumbs/v2_9713_thought-catalog-tRL_Rkh6D8o-unsplash.jpg)
Meta je dobila rok do 1. septembra da odgovori na pitanja Evropske komisije u vezi sa svojim novim modelom oglašavanja koji primorava korisnike da bi... Dalje
Epidemija oglasa na Facebooku koji nude besplatan popularni softver a dovode do infekcije uređaja
![Epidemija oglasa na Facebooku koji nude besplatan popularni softver a dovode do infekcije uređaja](/thumbs/v2_9045_pexels-pixabay-267399.jpg)
Sajber kriminalci koriste poslovne Facebook stranice i oglase za reklamiranje lažnih Windows tema, piratskih igara i softvera Sora AI, 3D image creat... Dalje
Zbog obmane korisnika i netransparentnosti EU preti platformi X kaznom od 6% godišnjeg prometa
![Zbog obmane korisnika i netransparentnosti EU preti platformi X kaznom od 6% godišnjeg prometa](/thumbs/v2_2284_alexander-shatov-d4_aCS3jsQ0-unsplash.jpg)
Evropska komisija je u petak zvanično rekla da veruje da je X (bivši Twitter) prekršio tehnološke propise EU i da bi mogao da se suoči sa kaznom ... Dalje
Meta krši evropski zakon primoravanjem korisnika Facebooka i Instagrama da pristanu na prikupljanje podataka
![Meta krši evropski zakon primoravanjem korisnika Facebooka i Instagrama da pristanu na prikupljanje podataka](/thumbs/v2_9561_pexels-julio-lopez-75309646-17514176.jpg)
Evropska komisija je obavestila Metu da njen model „plati ili pristani“ krši zakon EU jer ne dozvoljava korisnicima da bez prisile odluč... Dalje
Pratite nas
Nagrade