Специалисты Bitdefender выявили серьёзную уязвимость, которой можно воспользоваться в ходе регистрации аккаунтов на Facebook'е. Используя эту брешь, хакеры могут получать доступ к аккаунтам на других сайтах, там где присутствует возможность залогиниться через Facebook Social.

Эксплуатация уязвимости возможна в том случае, когда электронный адрес, который использует пользователь на сайте не использован для регистрации аккаунта на Facebook. Именно этот момент и является ключевым для злоумышленников. Зная электронный адрес жертвы, они регистрируют с ним аккаунт в Facebook добавляя при этот уже свой электронный адрес в качестве дополнительного (второго) адреса, при этом на почту должно быть отправлено письмо, где необходимо будет подтверждение адреса для завершения регистрации. Но, злоумышленники просто меняют указанные электронные адреса местами. Таким образом, получается, что их электронный адрес, на определённый период, становится основным для аккаунта. После это, они спокойненько подтверждают регистрацию и вновь меняют местами электронные адреса.

Получая при этом полноценный аккаунт Facebook жертвы. А теперь, используя возможность залогиниться через Facebook Socialна сайтах, злоумышленники смогут получать доступы к аккаунтам пользователей этих ресурсов. А представить, как критично это может быть в отношении каких-то интернет магазинов и прочих.

Bitdefenderнаправили извещение Facebookо существующей проблеме и к данному моменту уязвимость уже поправлена.