В программном обеспечении Facebook обнаружили баг, который позволяет без пароля войти в некоторые пользовательские аккаунты, сообщает Hacker News.
Также изданием сообщено, что используя специально сгенерированный запрос даже через результаты поиска Google можно вскрыть аккаунты пользователей. По оценкам экспертов под угрозой оказались более 1,3 млн аккаунтов. Еще эта уязвимость позволяет вскрыть «забитые» в Facebook email пользователей.
Для получения доступа к пользовательской информации достаточно завести аккаунт, имеющий действующий паролем и затем под ним зайти в соцсеть. После чего, задав специально сконструированный запроса можно приступать к открытию аккаунтов прочих пользователей.
Со слов экспертов, проблему Фейсбука делает парсинг поисковых запросов серверным программным обеспечением соцсети. Сами авторы атаки утверждают, что используя их метод атаки можно вскрыть не каждый аккаунт.
Рекламируется эта атака с использованием специализированных гиперссылок, размещаемых на пользовательских стенах. Эти ссылки часто попадают в поисковую выдачу и поисковики, делая переходы по ним, индексируют и закрытые данные пользователей. Благодаря этому в общем доступе уже оказалось более миллиона аккаунтов, многие из которых принадлежат росскийским и китайским пользователям Фейсбука.
Facebook в связи с нахождением этого бага сообщил, что его техслужбами уже ведутся работы по скорейшему устранению уязвимости.
Кроме того, Facebook внес ряд изменений, затрагивающих пользовательскую приватность. Изменения позволят производить более детальный настрой внешнего доступа к пользовательской информации, в том числе детализировать работу аккаунта с остальным интернетом.
