В системе безопасности Facebook вновь обнаружили огромную брешь. Уязвимость социальной сети в системе авторизации на других сайтах через профиль пользователя позволяла захватывать его аккаунты на сторонних ресурсах. Теперь по порядку. В Facebook существует система Social Login. То есть, пользователь может не проходить обязательную регистрацию на стороннем ресурсе – blablacar, lamoda, avito и других – а просто использовать учетную запись в Facebook. При этом на электронную почту, указанную в профиле, придет ссылка с подтверждением регистрации. Мошенники используют эту систему в своих преступных целях. За основу злоумышленники берут уязвимость в Facebook. Оказалось, что мошенники могут проникать в профиль пользователя и регистрировать дополнительный e-mail. Затем злоумышленники меняют почту пользователя на свою, и захватывают его аккаунты на других сайтах. Впрочем, это не самое страшное последствие взлома. Мошенники не просто захватывают аккаунты, но и регистрируют пользователя в интернет-магазинах. К слову, уязвимость Facebook, на данный момент, ликвидирована. 28/04/16 http://actualnews.org/tehnologii/10...t-akkaunty-polzovatelya-na-drugih-saytah.html
Иногда вещи лежат на поверхности.. остаётся только протянуть руку.. Новости уже пару дней, но идея якобы уязвимости - забавная и простая в тоже время, жаль что в тексте с этого источника она не расписана. Примерно так: находим пользователя на сайте, узнаём или знаем его email, проверяем есть ли регистрация в фейсбук с использованием этого email, есть нет - отлично. Регистрируемся в фейсбук, указывая основным его email и второстепенным "свой" email. По идеи в процессе регистрации на его email должно прийти письмо с подтверждением, но мы меняем местами почты и назначаем свою почту главной и подтверждаем регистрацию. После чего, вновь меняем почты местами и опа, аккаунт его с главной почтой его. А после уже через сервис Facebook Social логинимся на сайте/ах, в том числе да, на всяких интернет-магазинах и вперёд. Ну, ликвидирована.. но.. Интересно, где-нибудь ещё оно будет работать..
а чего дальше? там в интерент магазинах бывают внутренние интернет магазинные счета с которых можно что то купить или можно делать покупки привязаной к фейсбуку карточкой или как?
Ну про это я не знаю. Мне чисто сам механизм очень понравился.. Видимо речь о тех, где напрямую есть баланс на акке или что-то подобное ибо Facebook Social даёт возможность напрямую залогиниться в учетную_запись сайта.
вот непонятно, зачем делать единую авторизацию ? гугл сделал общий аккаунт и при угоне его - угоняют всё: от gmail до ютюба не всегда такое новое - лучше чем старое