פירצה בפייסבוק אפשרה השתלטות מלאה על חשבונות

הפירצה איפשרה לגנוב הרשאות גישה ייחודיים המספקים גישה לחשבונות. הפירצה מתבססת על מנגנון אישור האפליקציות על ידי משתמשים, ועל שינוי פרמטרים ב- URL המעביר את המידע.

"רק כדי להבהיר, אין צורך בהתקנה של אפליקציה בחשבון הקורבן, אפילו אם הקורבן מעולם לא אישר הפעלת אפליקציה בחשבון הפייסבוק שלו, עדיין הצלחתי להשיג הרשאות מלאות", כותב ניר.

כדי להפעיל את הפירצה, הקורבן רק צריך לבקר בעמוד אינטרנט. כך שמנגנון ה- OAuth המשמש את פייסבוק כדי לקשר בין אפליקציות למשתמשים יפעל. בדרך כלל משתמשים צריכים לאשר בקשה של יישומים לגשת לחשבון שלהם כדי שהתקשורת תחל לפעול.  כל אפליקציה יכולה לבקש הרשאות גישה אחרות.

הפירצה שגילה ניר מאפשר לו לגשת להרשאות הכוללות תיבת דואר נכנס/יוצא, דפים מנוהלים, ניהול מודעות, תמונות פרטיות ועוד. עוד "יתרון" של הפריצה הוא שאין לה תאריך תפוגה, וכל עוד המשתמש לא שינה את סיסמתו הגישה של ההאקר לחשבון תימשך.

ניר גולדשלגר הודיעה על הפירצה לפייסבוק והיא תוקנה לפני מספר חודשים. ניר מעדכן כי הוא זיהה שתי פרצות נוספות במנגנון ה- OAuth והוא מחכה לתיקון כדי לפרסמן.