Ferramenta faz Hijack em Contas que Entram em Sites Usando Login do Facebook

Um pesquisador de segurança lançou uma ferramenta que permite que cybercriminosos possam roubar contas a partir de sites que usam logins do Facebook. A ferramenta é chamada Reconnect, e foi desenvolvida por Egor Homakov, pesquisador da empresa de auditoria de segurança Sakurity. "Reconnect" funciona aproveitando uma falha de Cross-site Request Forgery em logins do Facebook, que permite aos utilizadores conectarem-se para sites de terceiros através de suas contas do Facebook. Essencialmente, o ataque funciona criando um link que, quando clicado, faz com que a vítima saia de sua conta legítima e entre em uma conta de Facebook que estará sob o controle do atacante. O ataque conecta a conta Facebook do atacante para a conta da vítima no site de terceiros, permitindo que o invasor registre a conta diretamente e altere informações como endereços de e-mail, senhas e assim por diante.


Além disso, "RECONNECT" favorece o sequestro de contas em sites com Facebook Login, por exemplo Booking.com, Bit.ly, About.me, StumbleUpon, Angel.co, Mashable.com, Vimeo e muitos outros. Portanto, sinta-se livre para copiar e modificar seu código fonte. Vale lembrar que o Facebook se recusou a corrigir esse problema há um ano.


Saiba Mais:

[1] Security Week http://www.securityweek.com/tool-hij...facebook-login