Хакеры эксплуатируют уязвимости в механизмах авторизации через социальные сети
08.12.2014
Получив контроль над учетной записью пользователя, преступники могут использовать ее для размещения вредоносных ссылок.
Специалисты подразделения IBM X-Force обнаружили способ получения легкого доступа к учетным записям интернет-пользователей используя недоработки в механизмах авторизации некоторых социальных сетей.
Эти механизмы позволяют пользователю войти в систему какого-либо web-сервиса, используя, к примеру, свои учетные данные в LinkedIn. Таким образом посетитель может создавать новую учетную запись, используя уже существую информацию.
Специалистам IBM удалось получить доступ к учетным записям на ресурсах Slashdot.org, Nasdaq.com, Crowdfunder.com и других посредством эксплуатации механизма авторизации LinkedIn. Ход атаки они продемонстрировали в видеоролике, опубликованном ниже.
По словам экспертов, злоумышленник может создать учетную запись в LinkedIn, используя электронный адрес жертвы. После создания аккаунта преступник заходит на ресурс Slashdot.org и использует функцию авторизации, указывая LinkedIn в качестве провайдера идентификации. Несмотря на то, что провайдеры идентификации не раскрывают третьей стороне учетные данные пользователей, однако отправляют такую информацию как адрес электронной почты.
Затем Slashdot.org сравнивает адрес электронной почты жертвы отправленный LinkedIn с уже существующими данными. Таким образом злоумышленник получает контроль над учетной записью, которая впоследствии может быть использована для размещения вредоносных ссылок. При этом остальные пользователи будут уверены в том, что контент размещен надежным источником.
