Так, проблема заключается в функции "Войти через Facebook" ("Login with Facebook"), использующей протокол авторизации OAuth 2.0 для обмена токенами между соцсетью и другими веб-сайтами.
Байкар отмечает, что не зря "всегда чувствовал себя неуверенно, используя функцию "Войти через Facebook".
Сообщается, что отдаленно злоумышленник может настроить вредоносный веб-сайт для перехвата трафика OAuth и похитить токены авторизации, предоставляющих доступ к учетным записям целевых пользователей Facebook. Подобное было возможно на протяжении 9-10 лет.
После этого злоумышленники могут отправлять сообщения и делать публикации от лица взломанного пользователя, а также изменять данные его учётной записи.
Кроме того, это открывает хакерам возможность попытаться получить управление и над профилями Instagram, Tinder, а также других приложений, где работает система входа через профиль Facebook.
Байкар сообщил компании об обнаруженной уязвимости, после чего в Facebook подтвердили факт её наличия и, по словам разработчиков, уже исправили её в конце 2019 года.
Исследователь также сообщил, что социальная сеть выплатила ему вознаграждение в размере 55 тысяч долларов.
Напомним, что японский производитель электрического и электротехнического оборудования Mitsubishi Electric пострадал от мощной хакерской атаки.