22:05
22/5/2010

Do dziś można było usunąć przyjaciół dowolnie wybranemu użytkownikowi Facebooka. Serwis podatny był na atak CSRF.

Atak: usuwanie przyjaciół na Facebooku

Aby skasować znajomych dowolnej osoby wystarczyło skonstruować standardowe żądanie do Facebooka, ale pominąć parametr post_form_id. Takie żądanie można było umieścić w kodzie strony (np. jako odwoładnie do obrazka) i zwabić na nią ofiarę (atak CSRF). O ile ofiara była zalogowana na swoje konto w Facebooku, podstawione żądanie do “obrazka” wykonywało się w kontekście Facebooka i usuwało zdefiniowane osoby ze znajomych.

Papa facebookowy przyjacielu

Ponieważ zgodnie z domyślnymi ustawieniami prywatności Facebooka dane znajomych są publicznie dostępne, niektórzy za sprawą ataku mogli stracić wszystkich swoich znajomych. Poniższe video demonstruje atak:

Dziury w Facebooku — coraz więcej, coraz częściej

Facebook ma ostatnio sporo problemów z bezpieczeństwem i zachowaniem prywatności przez użytkowników. Coraz więcej facebookowych ataków przeprowadzanych jest przez facebookowe aplikacje — kilka dni temu opublikowaliśmy na Niebezpieczniku analizę złośliwej aplikacji facebookowej.

W kontekście facebookowych dziur pisaliśmy już o tym jak podglądać prywatne rozmowy znajomych na Facebooku oraz wytłumaczyliśmy na czym polegał socjotechniczny “seksowny atak video“. Ciekawe ile czasu upłynie, zanim dowiemy się o kolejnej luce…

Przeczytaj także:

7 komentarzy

Dodaj komentarz
  1. >Do dziś można było usunąć przyjaciół dowolnie wybranemu użytkownikowi Facebooka.

    rozumiem dziura została załatana przez FB? i kto o niej powiadomił? zespół FB czy osoba/y związane z jej odkryciem?

  2. Tak, jest już załatana. O sprawie powiadomiła osoba, której film został podlinkowany w tekście (jej blog natomiast został podlinkowany pod słowem “atak”).

  3. “Facebook ma ostatnio sporo problemów z bezpieczeństwem i zachowaniem prywatności przez użytkowników.” – przecież sam twórca powiedział: “Coś takiego jak prywatność, nie istnieje” ;-)

  4. Ponoć dodał także: “Te głupie $&#$@# mi ufają”

  5. Mi by się o wiele bardziej podobało, gdyby takie newsy nie zawierały w sobie czasu przeszłego :D

  6. @Control: to czytaj nas na blipie/facebooku — pisaliśmy o niej w czasie teraźniejszym kilka dni temu: http://blip.pl/s/80635778

  7. Najbardziej podoba mi się sytuacja, gdy loguję się na FB, a że mam problemy ze swoim routerem domowym – czasem się przymuli czasem zawiesi otrzymuję bawiące mnie komunikaty od ekipy FB, że pracują już nad usunięciem problemu :)
    Po dziś dzień żaden z nich nie zajął się moim routerkiem :(

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.