22/5/2010
Do dziś można było usunąć przyjaciół dowolnie wybranemu użytkownikowi Facebooka. Serwis podatny był na atak CSRF.
Atak: usuwanie przyjaciół na Facebooku
Aby skasować znajomych dowolnej osoby wystarczyło skonstruować standardowe żądanie do Facebooka, ale pominąć parametr post_form_id. Takie żądanie można było umieścić w kodzie strony (np. jako odwoładnie do obrazka) i zwabić na nią ofiarę (atak CSRF). O ile ofiara była zalogowana na swoje konto w Facebooku, podstawione żądanie do “obrazka” wykonywało się w kontekście Facebooka i usuwało zdefiniowane osoby ze znajomych.
Ponieważ zgodnie z domyślnymi ustawieniami prywatności Facebooka dane znajomych są publicznie dostępne, niektórzy za sprawą ataku mogli stracić wszystkich swoich znajomych. Poniższe video demonstruje atak:
Dziury w Facebooku — coraz więcej, coraz częściej
Facebook ma ostatnio sporo problemów z bezpieczeństwem i zachowaniem prywatności przez użytkowników. Coraz więcej facebookowych ataków przeprowadzanych jest przez facebookowe aplikacje — kilka dni temu opublikowaliśmy na Niebezpieczniku analizę złośliwej aplikacji facebookowej.
W kontekście facebookowych dziur pisaliśmy już o tym jak podglądać prywatne rozmowy znajomych na Facebooku oraz wytłumaczyliśmy na czym polegał socjotechniczny “seksowny atak video“. Ciekawe ile czasu upłynie, zanim dowiemy się o kolejnej luce…
>Do dziś można było usunąć przyjaciół dowolnie wybranemu użytkownikowi Facebooka.
rozumiem dziura została załatana przez FB? i kto o niej powiadomił? zespół FB czy osoba/y związane z jej odkryciem?
Tak, jest już załatana. O sprawie powiadomiła osoba, której film został podlinkowany w tekście (jej blog natomiast został podlinkowany pod słowem “atak”).
“Facebook ma ostatnio sporo problemów z bezpieczeństwem i zachowaniem prywatności przez użytkowników.” – przecież sam twórca powiedział: “Coś takiego jak prywatność, nie istnieje” ;-)
Ponoć dodał także: “Te głupie $&#$@# mi ufają”
Mi by się o wiele bardziej podobało, gdyby takie newsy nie zawierały w sobie czasu przeszłego :D
@Control: to czytaj nas na blipie/facebooku — pisaliśmy o niej w czasie teraźniejszym kilka dni temu: http://blip.pl/s/80635778
Najbardziej podoba mi się sytuacja, gdy loguję się na FB, a że mam problemy ze swoim routerem domowym – czasem się przymuli czasem zawiesi otrzymuję bawiące mnie komunikaty od ekipy FB, że pracują już nad usunięciem problemu :)
Po dziś dzień żaden z nich nie zajął się moim routerkiem :(