22:05
22/5/2010

Do dziś można było usunąć przyjaciół dowolnie wybranemu użytkownikowi Facebooka. Serwis podatny był na atak CSRF.

Atak: usuwanie przyjaciół na Facebooku

Aby skasować znajomych dowolnej osoby wystarczyło skonstruować standardowe żądanie do Facebooka, ale pominąć parametr post_form_id. Takie żądanie można było umieścić w kodzie strony (np. jako odwoładnie do obrazka) i zwabić na nią ofiarę (atak CSRF). O ile ofiara była zalogowana na swoje konto w Facebooku, podstawione żądanie do “obrazka” wykonywało się w kontekście Facebooka i usuwało zdefiniowane osoby ze znajomych.

Papa facebookowy przyjacielu

Ponieważ zgodnie z domyślnymi ustawieniami prywatności Facebooka dane znajomych są publicznie dostępne, niektórzy za sprawą ataku mogli stracić wszystkich swoich znajomych. Poniższe video demonstruje atak:

Dziury w Facebooku — coraz więcej, coraz częściej

Facebook ma ostatnio sporo problemów z bezpieczeństwem i zachowaniem prywatności przez użytkowników. Coraz więcej facebookowych ataków przeprowadzanych jest przez facebookowe aplikacje — kilka dni temu opublikowaliśmy na Niebezpieczniku analizę złośliwej aplikacji facebookowej.

W kontekście facebookowych dziur pisaliśmy już o tym jak podglądać prywatne rozmowy znajomych na Facebooku oraz wytłumaczyliśmy na czym polegał socjotechniczny “seksowny atak video“. Ciekawe ile czasu upłynie, zanim dowiemy się o kolejnej luce…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

7 komentarzy

Dodaj komentarz
  1. >Do dziś można było usunąć przyjaciół dowolnie wybranemu użytkownikowi Facebooka.

    rozumiem dziura została załatana przez FB? i kto o niej powiadomił? zespół FB czy osoba/y związane z jej odkryciem?

  2. Tak, jest już załatana. O sprawie powiadomiła osoba, której film został podlinkowany w tekście (jej blog natomiast został podlinkowany pod słowem “atak”).

  3. “Facebook ma ostatnio sporo problemów z bezpieczeństwem i zachowaniem prywatności przez użytkowników.” – przecież sam twórca powiedział: “Coś takiego jak prywatność, nie istnieje” ;-)

  4. Ponoć dodał także: “Te głupie $&#$@# mi ufają”

  5. Mi by się o wiele bardziej podobało, gdyby takie newsy nie zawierały w sobie czasu przeszłego :D

  6. @Control: to czytaj nas na blipie/facebooku — pisaliśmy o niej w czasie teraźniejszym kilka dni temu: http://blip.pl/s/80635778

  7. Najbardziej podoba mi się sytuacja, gdy loguję się na FB, a że mam problemy ze swoim routerem domowym – czasem się przymuli czasem zawiesi otrzymuję bawiące mnie komunikaty od ekipy FB, że pracują już nad usunięciem problemu :)
    Po dziś dzień żaden z nich nie zajął się moim routerkiem :(

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: