Facebook: Neautorizované mazání kontaktů opraveno

Chyba byla nahlášena ve středu Stevenem Abbagnarem, studentem na Marist College v Poughkeepsie ve státě New York. Zástupci Facebooku zareagovali velmi rychle a nyní již tato zranitelnost není údajně dále zneužitelná.

Chyba byla variací na již dříve objevenou zranitelnost Facebooku z předchozího týdne, která ovlivňovala řadu funkcí na jeho webových stránkách. Hackeři mohli mazat kontakty svých obětí jeden po druhém a ti neměli jak tomu zabránit. Aby Abbagnarem objevená chyba fungovala, musel uživatel být předtím vylákán na škodlivou stránku pomocí kliknutí na podstrčený link a přitom být stále přihlášený do Facebooku.

Facebook během uplynulého týdne intenzivně pracoval na záplatách těchto tzv. cross-site request forgery zranitelností. jedná se o takové typy útoků, které pracují na bázi neočekávaného resp. nezamýšleného požadavku pro vykonání určité akce v internetové aplikaci, který ovšem pochází z nelegitimního zdroje. Jejich existence je způsobena relativně jednoduchými chybami při tvorbě webového kódu a již dříve kritizovali bezpečnostní experti Facebook za jejich pomalé opravování.

Simom Axten, mluvčí Facebooku, potvrdil, že jeho společnost je v současnosti uprostřed procesu komplexního auditu a tvorby dodatečných ochran proti těmto typům útoku a nyní by měly být i opravy vydávány rychleji než tomu bylo dosud.