Facebook repareert (weer) kwetsbaarheid die profielen kan lekken
Facebook heeft een kwetsbaarheid weggewerkt die het mogelijk maakte om likes, postjes en vrienden van anderen te zien.
Facebook heeft een fout hersteld die het aanvallers mogelijk maakte om andermans profiel te doorzoeken. Het gaat om een kwetsbaarheid die een zogeheten cross-site request forgery, of CSRF-aanval, mogelijk maakt. Zo’n aanval misleidt pagina’s en laat hen taken uitvoeren die ze niet horen te doen. De fout zat in Facebook op Google Chrome browser, en zou in juli met een update verholpen zijn.
Om iemands berichten te zien, zou een aanvaller een gebruiker, die ingelogd is op Facebook, zover moeten krijgen om een kwaadaardige website te openen. Vandaar zouden aanvallers een extra tabblad kunnen openen met de zoekpagina van Facebook, om allerlei zoekopdrachten vanuit het profiel van de ingelogde gebruiker uit te voeren en bijvoorbeeld persoonlijke informatie op te vragen.
De kwetsbaarheid werd ontdekt door securitybedrijf Imperva en in mei aan Facebook doorgegeven. Het sociale netwerk repareerde de bug diezelfde maand en betaalde het bedrijf 8.000 dollar aan ‘bug bounties’. Op zijn blog legt Imperva uit hoe de kwetsbaarheid werkte.
Het is niet de eerste keer dat Facebook via bugs kwetsbaar is voor lekken van informatie, maar in dit geval gaat het niet om een bug die uniek is voor Facebook. De Chrome kwetsbaarheid zou ook op andere site gebruikt kunnen worden, alleen heeft Facebook een pak meer persoonlijke informatie die mogelijk aantrekkelijk kan zijn voor aanvallers.
Fout opgemerkt of meer nieuws? Meld het hier