Индийский исследователь обнаружил серьезную уязвимость, которая могла быть использована для хищения страниц Facebook.
Брешь в безопасности была Arun Sureshkumar, затрагивала Facebook Business Manager, бесплатный инструмент, позволяющий пользователям управлять рекламными аккаунтами, страницами, приложениями и людьми, которые работают на них.
Когда пользователи назначают партнера на свою страницу с помощью Business Manager, они должны указать ID партнера и его роль. По мнению эксперта, проблема была в том, что отправленный в процессе запрос содержит несколько параметров, которыми легко манипулировать из-за уязвимости.
Злоумышленник может создать запрос с использованием тестовых учетных записей, перехватить его и изменить значение различных параметров, чтобы переназначить страницу на свой собственный аккаунт Facebook Business Manager. После того, как модифицированный запрос будет отправлен повторно, хакер получит контроль над целевой страницей.
Эксперт утверждает, что этот метод может быть использован для взлома любой страницы Facebook, в том числе принадлежащей высокопоставленным лицам. Эксперт опубликовал видео, чтобы продемонстрировать свои выводы:
Об уязвимости в Facebook узнали 29 августа, а исправлена она была 6 сентября. Социальная сеть выплатила экспертам 16,000$ за ее обнаружение.
