Опасная уязвимость в процедуре регистрации аккаунтов в Facebook была обнаружена компанией Bitdefender. Используя ее, киберпреступники могли получать доступ к чужим аккаунтам на сайтах, разрешающих процесс авторизации с помощью Facebook Social Login.
Уязвимость была найдена в механизме проверки подлинности адреса электронной почты, который должен быть указан при регистрации нового аккаунта в Facebook. Письмо с проверочной ссылкой отправляется пользователю, чтобы убедиться в том, что адрес на самом деле принадлежит ему. Система считает адрес неподтвержденным, пока пользователь не пройдет проверку.
Однако, по словам специалистов Bitdefender, обмануть Facebook очень легко. Злоумышленнику необходимо зарегистрировать аккаунт на электронную почту жертвы, а также ввести свой собственный адрес. После окончания процесса регистрации нужно поменять местами адреса, вследствие чего адрес злоумышленника временно станет основным. Facebook отправит проверочную ссылку, подлинность адреса будет подтверждена. При обратной установке адреса жертвы в качестве основного система уже не будет запрашивать подтверждение.
Сочетание с функцией Facebook Social Login, позволяющей регистрацию на других сайтах с помощью Facebook, делает уязвимость еще опаснее. Благодаря подставному аккаунту Facebook, зарегистрированному на электронный адрес жертвы, киберпреступник может зарегистрироваться в аккаунты жертвы на других ресурсах через Facebook Social Login.
После уведомления от Bitdefender специалисты Facebook быстро ликвидировали уязвимость.