Analiza spamu od dawna przynosi wiele informacji związanych z lukami bezpieczeństwa. Te same działania doprowadziły specjalistów z laboratorium badania zagrożeń w firmie Cyberoam do luki w Facebooku. Podatność ta jest związana z mechanizmem uwierzytelnienia i po udanym wykorzystaniu pozwala atakującym na wgrywanie obrazów, zdjęć, umieszczanie komentarzy, dokonywanie płatności, wysyłanie SMS-ów, czytanie wiadomości oraz tagowanie zdjęć znajomych. W praktyce taki skuteczny atak oznacza przejęcie konta na Facebooku.

Na ślad luki doprowadziły wiadomości zawierające rzekomo film z kobietą uzbrojoną w bardzo ostrą siekierę ("Lady with razor sharp axe"). Wiadomości te były wysyłane wśród powodzi innych e-maili zawierających pospolity spam, przeznaczone były jednak do nakierowania użytkowników na narzędzie, które służy do przechwycenia i archiwizacji tokenów dostępowych. Pozyskane w ten sposób tokeny dostępu do aplikacji Facebooka oddają napastnikom kontrolę nad kontem ofiary, nawet jeśli użytkownik w późniejszym terminie wyloguje się z Facebooka.

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• Hakerzy włamali się do znanego polskiego sklepu internetowego

Do czasu załatania tej podatności należy:

• unikać klikania w linki, obiekty wideo lub obrazy związane z tym spamem,
• niezwłocznie zmienić hasło do Facebooka, dzięki czemu poprzednio używany token zostanie unieważniony,
• w opcjach konta wyłączyć "aplikacje, z których korzystasz", dzięki czemu żadna aplikacja nie będzie miała dostępu do tokena.

Informacja o zagrożeniu oraz szczegóły podatności zostały już zgłoszone do Facebooka, kompletne opracowanie zostanie opublikowane po wprowadzeniu przez Facebooka skutecznych zabezpieczeń.