Facebook: Neautorizované mazání kontaktů opraveno

23. 5. 2010

Sdílet

Facebook informoval, že opravil chybu, která umožňovala hackerům mazat bez dovolení přátele bez svolení svých obětí.

Chyba byla nahlášena ve středu Stevenem Abbagnarem, studentem na Marist College v Poughkeepsie ve státě New York. Zástupci Facebooku zareagovali velmi rychle a nyní již tato zranitelnost není údajně dále zneužitelná.

Chyba byla variací na již dříve objevenou zranitelnost Facebooku z předchozího týdne, která ovlivňovala řadu funkcí na jeho webových stránkách. Hackeři mohli mazat kontakty svých obětí jeden po druhém a ti neměli jak tomu zabránit. Aby Abbagnarem objevená chyba fungovala, musel uživatel být předtím vylákán na škodlivou stránku pomocí kliknutí na podstrčený link a přitom být stále přihlášený do Facebooku.

Facebook během uplynulého týdne intenzivně pracoval na záplatách těchto tzv. cross-site request forgery zranitelností. jedná se o takové typy útoků, které pracují na bázi neočekávaného resp. nezamýšleného požadavku pro vykonání určité akce v internetové aplikaci, který ovšem pochází z nelegitimního zdroje. Jejich existence je způsobena relativně jednoduchými chybami při tvorbě webového kódu a již dříve kritizovali bezpečnostní experti Facebook za jejich pomalé opravování.

Simom Axten, mluvčí Facebooku, potvrdil, že jeho společnost je v současnosti uprostřed procesu komplexního auditu a tvorby dodatečných ochran proti těmto typům útoku a nyní by měly být i opravy vydávány rychleji než tomu bylo dosud.