Уязвимость в Facebook позволяет удалять друзей из профилей пользователей

image

Теги: Facebook, уязвимость, новость

В социальной сети Facebook найдена новая уязвимость, позволяющая несанкционированно удалять друзей из профиля того или иного пользователя.

В социальной сети Facebook найдена новая уязвимость, позволяющая несанкционированно удалять друзей из профиля того или иного пользователя. Впервые о наличии данной уязвимости появились данные на ресурсе ProminentSecurity.com, однако уже через несколько часов сведения о наличии бага в программном коде подтвердили и несколько крупных исследовательских ИТ-проектов.

Независимые эксперты отмечают, что потенциальные хакеры могут объединять данную атаку с возможностями по рассылке спама или даже сетевого червя, который теоретически может рассылать свой код по контакт-листам пользователей.

Стивен Эббагнаро, первым сообщивший о наличии проблемы, говорит, что ему удалось создать концептуальный код, который удаляет друзей из публично доступного контакт-листа пользователя Facebook.

Ранее ИТ-интегратор Alert Logic опубликовал данные, в которых предупреждал, что Facebook не проверяет код, который внутри сети переправляется пользователям, более того, некоторые изменения можно внести без авторизации и подтверждения.

Частично новая атака базируется на данной информации. Эксперты говорят, что трюк с очищением списка друзей - это типичный пример XSS-атаки, вызванный неверной программной реализацией серверной части Facebook. В начале недели в Facebook признали наличие ряда проблем в коде, но заявили, что они не носят слишком серьезный характер. Facebook признала наличие проблемы, связанной с возможностью накрутки популярности страниц через нагон кликов Like.


или введите имя

CAPTCHA
09249
23-05-2010 20:14:52
леминги в шоке
0 |
35527
23-05-2010 20:49:57
+1024
0 |
Анонимус
23-05-2010 21:04:33
Благодаря дурости Дурова, эта "фича" прекрасно работает в пресловутом вконтактике.
0 |
_____
23-05-2010 21:39:52
Можно линк на подробную инфу?...
0 |
15128
23-05-2010 23:05:00
Эксперты говорят, что трюк с очищением списка друзей - это типичный пример XSS-атаки... на самом деле речь явно идёт об XSRF-атаке.. (но видимо секлабовский креспондент щитает что XSRF входит в подмножество XSS)
0 |