Bitdefender a descoperit o vulnerabilitate în procesul de autentificare al Facebook

Specialiştii în securitate cibernetică de la Bitdefender au descoperit o vulnerabilitate în mecanismul de autentificare al reţelei de socializare Facebook, care le permitea atacatorilor să fure identitatea anumitor utilizatori de internet şi să le acceseze majoritatea conturilor online unde se pot conecta prin reţeaua de socializare, se arată într-un comunicat de presă al companiei.

''Folosind această vulnerabilitate în sistemul de login via Facebook, atacatorii pot accesa majoritatea conturilor online ale utilizatorilor care permit autentificarea cu această reţea socială. Asta înseamnă că atacatorii pot face plăţi în numele utilizatorilor pe site-urile magazinelor online, de exemplu'', declară Cătălin Coşoi, Chief Security Strategist, Bitdefender.

Autentificarea prin reţele sociale este o metodă alternativă de conectare la diverse conturi, care le oferă utilizatorilor o modalitate mai convenabilă de a se înregistra fără a mai completa câmpurile de utilizator şi parolă. Cele mai multe site-uri permit conectarea prin Facebook, LinkedIn, Twitter sau Google Plus, conform aceluiaşi comunicat.

''Mai întâi, au creat un profil de Facebook, cu adresa de e-mail a victimei asociată diverselor conturi pe care le deţine pe internet. După ce au creat profilul Facebook cu adresa de e-mail aparţinând victimei, au adăugat contului de Facebook şi o adresă controlată de atacatori. După un refresh al paginii, e-mail-ul victimei este deja validat de Facebook. Când încearcă să se autentifice pe o altă pagină folosind butonul Facebook Login cu adresa de e-mail a victimei, i se solicită să confirme propria adresă e-mail, nu pe cea iniţială, aparţinând victimei. În setările contului de Facebook, atacatorul stabileşte propria adresă drept contact primar pentru cont în locul adresei de e-mail a victimei'', subliniază Bitdefender.

Prin urmare, atacatorii se pot conecta cu adresa de e-mail la toate aplicaţiile şi conturile deţinute de utilizator .

''Partea care certifică identitatea, Facebook, ar fi trebuit să aştepte până când noua adresă de e-mail asociată contului de Facebook era verificată. Compania Facebook a remediat vulnerabilitatea după notificarea furnizată de către cercetătorii Bitdefender'', declară compania.