В системе безопасности Facebook вновь обнаружили огромную брешь. Уязвимость социальной сети в системе авторизации на других сайтах через профиль пользователя позволяла захватывать его аккаунты на сторонних ресурсах.

Теперь по порядку. В Facebook существует система Social Login. То есть, пользователь может не проходить обязательную регистрацию на стороннем ресурсе – blablacar, lamoda, avito и других – а просто использовать учетную запись в Facebook. При этом на электронную почту, указанную в профиле, придет ссылка с подтверждением регистрации.

Мошенники используют эту систему в своих преступных целях. За основу злоумышленники берут уязвимость в Facebook. Оказалось, что мошенники могут проникать в профиль пользователя и регистрировать дополнительный e-mail. Затем злоумышленники меняют почту пользователя на свою, и захватывают его аккаунты на других сайтах.

Впрочем, это не самое страшное последствие взлома. Мошенники не просто захватывают аккаунты, но и регистрируют пользователя в интернет-магазинах. К слову, уязвимость Facebook, на данный момент, ликвидирована.

28/04/16 http://actualnews.org/tehnologii/10...t-akkaunty-polzovatelya-na-drugih-saytah.html (http://actualnews.org/tehnologii/101059-uyazvimost-facebook-pozvolyala-zahvatyvat-akkaunty-polzovatelya-na-drugih-saytah.html)

Иногда вещи лежат на поверхности.. остаётся только протянуть руку..

Новости уже пару дней, но идея якобы уязвимости - забавная и простая в тоже время, жаль что в тексте с этого источника она не расписана.

Примерно так:

находим пользователя на сайте, узнаём или знаем его email, проверяем есть ли регистрация в фейсбук с использованием этого email, есть нет - отлично. Регистрируемся в фейсбук, указывая основным его email и второстепенным "свой" email. По идеи в процессе регистрации на его email должно прийти письмо с подтверждением, но мы меняем местами почты и назначаем свою почту главной и подтверждаем регистрацию. После чего, вновь меняем почты местами и опа, аккаунт его с главной почтой его. А после уже через сервис Facebook Social логинимся на сайте/ах, в том числе да, на всяких интернет-магазинах и вперёд.

Ну, ликвидирована.. но..

Интересно, где-нибудь ещё оно будет работать..

Suicide said:
↑ (https://antichat.live/posts/3978978/)
Иногда вещи лежат на поверхности.. остаётся только протянуть руку..


Вот бы деньги лежали на поверхности) Я бы протянул)

Suicide said:
↑ (https://antichat.live/posts/3978978/)
А после уже через сервис Facebook Social логинимся на сайте/ах, в том числе да, на всяких интернет-магазинах и вперёд.


а чего дальше? там в интерент магазинах бывают внутренние интернет магазинные счета с которых можно что то купить или можно делать покупки привязаной к фейсбуку карточкой или как?

trolex said:
↑ (https://antichat.live/posts/3979081/)
а чего дальше? там в интерент магазинах бывают внутренние интернет магазинные счета с которых можно что то купить или можно делать покупки привязаной к фейсбуку карточкой или как?


Ну про это я не знаю. Мне чисто сам механизм очень понравился..

Видимо речь о тех, где напрямую есть баланс на акке или что-то подобное ибо Facebook Social даёт возможность напрямую залогиниться в учетную_запись сайта.

вот непонятно, зачем делать единую авторизацию ?

гугл сделал общий аккаунт и при угоне его - угоняют всё: от gmail до ютюба

не всегда такое новое - лучше чем старое