Η εταιρεία ασφαλείας Imperva ανακάλυψε ένα σφάλμα το Μάιο που επέτρεπε σε ιστοσελίδες να έχουν πρόσβαση στα δεδομένα χρηστών του Facebook αλλά και στις προσωπικές πληροφορίες των φίλων τους.
Το bug επέτρεπε σε ιστοσελίδες να έχουν πρόσβαση στις προτιμήσεις και τα ενδιαφέροντα των χρηστών μέσω ενός ερωτήματος στο Graph search του Facebook. Ευτυχώς, το πρόβλημα έχει επιδιορθωθεί ήδη από το μεγαλύτερο κοινωνικό δίκτυο.
Ο ερευνητής της Imperva, Ron Masas, ανακάλυψε τον Μάιο ότι το Faceboοk επέτρεπε επιθέσεις cross-site request forgery (CSRF). Αυτό σημαίνει ότι κάποιος άλλος ιστότοπος θα μπορούσε να έχει πρόσβαση σε δεδομένα χρήστών του Facebook μέσω ερωτημάτων στον κώδικα.
Για να εκμεταλλευτεί το σφάλμα μια ιστοσελίδα, θα έπρεπε να χρησιμοποιήσει ένα iframe που εμφάνιζε το faceboοk μέσα στις σελίδες της.
Έτσι αν κάποιος χρήστης που ήταν συνδεδεμένος στο Facebook επισκεπτόταν την σελίδα με τον κακόβουλο κώδικα, το script άρχιζε να συγκεντρώνει δεδομένα αποστέλλοντας ερωτήματα στο κοινωνικό δίκτυο μέσω του Graph search: “Έχει ο χρήστης φίλους;” ή “Έχει φίλους στον Καναδά;”
Μπορείτε να δείτε ένα παράδειγμα στο παρακάτω βίντεο.
Ο ερευνητής Ron Masas της Imperva ανέφερε επίσης ότι η επίθεση επέτρεπε και την πρόσβαση στα δεδομένα των φίλων των χρηστών, ακόμη και αν οι πληροφορίες ήταν ορατές μόνο για φίλους.
Ένας εκπρόσωπος του Faceboοk όμως δήλωσε στο TechCrunch ότι δεν υπήρξε κάποια απώλεια δεδομένων. Να αναφέρουμε ότι η εταιρεία Imperva κέρδισε 8.000 δολάρια για δύο ξεχωριστά σφάλματα που ανακοίνωσε στο Facebook.
Η ιστορία έρχεται να μας υπενθυμίσει ότι δεν υπάρχει ασφάλεια στο διαδίκτυο. Από την στιγμή που τα δεδομένα σας αποθηκεύονται στο internet σταματάνε να είναι δικά σας και γίνονται κοινόχρηστα με τον πρώτο hacker που θα καταφέρει να σπάσει το σύστημα.
_______________
