Уязвимость позволяла хакерам похищать страницы Facebook

Олег Иванов 21 Сентября 2016 - 00:40

...

Индийский исследователь обнаружил серьезную уязвимость, которая могла быть использована для хищения страниц Facebook.

Брешь в безопасности была обнаружена Arun Sureshkumar, затрагивала Facebook Business Manager, бесплатный инструмент, позволяющий пользователям управлять рекламными аккаунтами, страницами, приложениями и людьми, которые работают на них.

Когда пользователи назначают партнера на свою страницу с помощью Business Manager, они должны указать ID партнера и его роль. По мнению эксперта, проблема была в том, что отправленный в процессе запрос содержит несколько параметров, которыми легко манипулировать из-за уязвимости.

Злоумышленник может создать запрос с использованием тестовых учетных записей, перехватить его и изменить значение различных параметров, чтобы переназначить страницу на свой собственный аккаунт Facebook Business Manager. После того, как модифицированный запрос будет отправлен повторно, хакер получит контроль над целевой страницей.

Эксперт утверждает, что этот метод может быть использован для взлома любой страницы Facebook, в том числе принадлежащей высокопоставленным лицам. Эксперт опубликовал видео, чтобы продемонстрировать свои выводы:

https://youtu.be/BSnksWX5Kn0

Об уязвимости в Facebook узнали 29 августа, а исправлена она была 6 сентября. Социальная сеть выплатила экспертам 16,000$ за ее обнаружение.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Сайт и приложение РЖД атакуют

Яков Шпунт 06 Июня 2025 - 11:26

Атаки на сайты DDoS-атаки Домашние пользователи Государство

Официальный сайт и мобильное приложение АО «РЖД» перестали открываться. В компании объяснили перебои DDoS-атакой. При этом, как подчёркивают в РЖД, инцидент не повлиял на работу касс, в том числе на вокзалах и станциях — они продолжают функционировать в штатном режиме.

«Наш сайт и мобильное приложение подверглись DDoS-атаке. Мы прилагаем все усилия, чтобы как можно быстрее восстановить их работу», — говорится в сообщении официального телеграм-канала РЖД. — «Приносим извинения за доставленные неудобства».

Согласно данным сервиса Downdetector.su, около 11:00 по московскому времени был зафиксирован резкий всплеск жалоб на работу как основного сайта РЖД, так и Сервисного портала компании. При этом различается география обращений: если сбои на основном сайте отмечались равномерно по всей стране, то в случае Сервисного портала большинство жалоб поступило с Дальнего Востока, прежде всего из Сахалинской области.

У автора этих строк сайт РЖД открывался, но медленно и с ошибками отображения: страница загружалась не полностью, верстка была искажена, многие сервисы — недоступны. Также сообщается, что мобильное приложение запускается, но оформить билеты через него невозможно.