Experiência Conecta GO - Prolapso Genital
Índice:
A vulnerabilidade teria permitido que um invasor em potencial roubasse informações confidenciais conhecidas como tokens de acesso OAuth. O Facebook usa o protocolo OAuth para permitir que aplicativos de terceiros acessem contas de usuários depois que os usuários os aprovarem. Cada aplicativo recebe um token de acesso exclusivo para cada conta de usuário.
[Leitura adicional: Como remover malware do seu PC com Windows]
Goldshlager encontrou uma vulnerabilidade nos sites do Facebook para dispositivos móveis e ativados por toque que resultaram de sanitização de caminhos de URL. Isso permitiu que ele criasse URLs que poderiam ter sido usadas para roubar o token de acesso de qualquer aplicativo que um usuário tivesse instalado em seu perfil.
Embora a maioria dos aplicativos no Facebook sejam aplicativos de terceiros que os usuários precisam aprovar manualmente, há alguns aplicativos internos que são pré-aprovados. Uma dessas aplicações é o Facebook Messenger; seu token de acesso não expira a menos que o usuário altere sua senha e tenha amplas permissões para acessar os dados da conta.O Facebook Messenger pode ler, enviar, fazer upload e gerenciar mensagens, notificações, fotos, e-mails, vídeos e muito mais. A vulnerabilidade de manipulação de URL encontrada em m.facebook.com e touch.facebook.com, poderia ter sido explorada para roubar o token de acesso de um usuário do Facebook Messenger, o que teria permitido ao atacante acesso total à conta, disse Goldshlager. por bug-hunter
A URL de ataque poderia ter sido encurtada com um dos muitos serviços de encurtamento de URL e enviada para usuários mascarados como um link para outra coisa. O ataque também teria funcionado em contas que tinham a autenticação de dois fatores do Facebook ativada, disse Goldshlager.
Com o token de acesso e o ID do usuário do Facebook, um invasor pode extrair informações da conta do usuário usando o Graph API Explorer, ferramenta para desenvolvedores disponível no site do Facebook, Goldshlager disse sexta-feira via e-mail.
De acordo com Goldshlager, a equipe de segurança do Facebook corrigiu a vulnerabilidade. "O Facebook tem uma equipe de segurança profissional e eles corrigem problemas muito rapidamente", disse ele.
"Aplaudimos o pesquisador de segurança que chamou a atenção para esse problema e para relatar de forma responsável o bug em nosso Programa White Hat", um representante do Facebook. disse sexta-feira via e-mail. “Trabalhamos com a equipe para nos certificarmos de que compreendemos o escopo total da vulnerabilidade, o que nos permitiu consertá-la sem qualquer evidência de que esse bug foi explorado na natureza. Devido ao relato responsável deste problema no Facebook, não temos evidências de que os usuários tenham sido afetados por esse bug. Nós fornecemos uma recompensa ao pesquisador para agradecê-los por sua contribuição para a segurança do Facebook. ”
O pesquisador alega que ele também encontrou outras vulnerabilidades relacionadas ao OAuth que afetam o Facebook, mas se recusou a revelar qualquer informação sobre eles porque O Facebook executa um programa de recompensas por meio do qual paga recompensas monetárias a pesquisadores de segurança que localizam e reportam com responsabilidade as vulnerabilidades que afetam o site.
Goldshlager disse no Twitter que ainda não foi pago pelo Facebook para relatar esta vulnerabilidade, mas notou que seu relatório incluiu várias vulnerabilidades e que ele provavelmente receberá a recompensa depois que todas forem corrigidas.
O Facebook paga muito bem aos pesquisadores de segurança por encontrar e relatar bugs, disse Goldshlager por e-mail. "Eu não posso dizer quanto, mas eles pagam mais do que qualquer outro programa de recompensa de bugs que eu conheço."
Atualizado às 11:55 PT para incluir um comentário do Facebook.
Os outsourcers indianos podem estar sob escrutínio mais alto depois que a Satyam admitiu que lidou com contas da empresa. na quarta-feira, a Satyam Computer Services, que terceirizou as contas, provavelmente terá um impacto sobre outras empresas terceirizadas indianas, de acordo com analistas.
Os clientes farão uma rigorosa análise e análise de gerenciamento de risco de seus fornecedores no exterior. John C. McCarthy, vice-presidente e analista principal da Forrester Research. As empresas que provavelmente ficarão sob escrutínio mais próximo são os fornecedores familiares e médios, acrescentou McCarthy. Ramalinga Raju, presidente da Satyam Computer Services, quarta maior terceirizada da Índia, apresentou na quarta-feira sua renúncia ao conselho da empresa depois de admitir que a empre
Do Yahoo! que permitiu o seqüestro de contas de e-mail
Hackers atrás de uma campanha de ataque de e-mail detectada recentemente exploraram uma vulnerabilidade em um site do Yahoo para seqüestrar o e-mail Os hackers por trás de uma campanha de ataque de email detectada recentemente estão explorando uma vulnerabilidade em um site do Yahoo para sequestrar as contas de e-mail dos usuários do Yahoo e usá-las para spam, segundo pesquisadores de segurança do fornecedor de antivírus. Bitdefender.
Senhas específicas de aplicativos enfraquecem a autenticação de dois fatores do Google, dizem pesquisadores Pesquisadores descobriram uma brecha no sistema de autenticação do Google que permitia para ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para aplicativos individuais.
Pesquisadores do provedor de autenticação de dois fatores Duo Security descobriram uma brecha no sistema de autenticação do Google que permitiu ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para conectar aplicativos individuais às contas do Google.