De white-hat-hacker Nir Goldshlager heeft een methode ontwikkeld om via Skype en Dropbox toegang te krijgen tot elk Facebook-account dat met een van beide diensten gekoppeld is. Skype en Dropbox hebben de gaten ondertussen gedicht.
Goldshlager liet aan TechCrunch weten hoe de hack in elkaar steekt. De hack maakt gebruik van open redirect vulnerabilities waarvoor zowel dropbox.com als metrics.skype.com gevoelig bleken. Hierbij konden met behulp van het Facebook User ID van een gebruiker die Skype of Dropbox gekoppeld heeft, zowel het e-mailadres en het wachtwoord van het Facebook-account achterhaald worden.
Door de juiste url, met redirect naar een eigen website, in te toetsen achter het Dropbox- of Skype-domein, kon een hacker de inloggegevens van een Facebook-gebruiker naar zijn eigen domein laten sturen. Zowel Dropbox als Skype bleken niet te valideren naar welk domein de redirect vanaf hun website liep. Skype, Dropbox en Facebook hebben gemeld dat de beveiligingsgaten inmiddels gerepareerd zijn.
Het is niet de eerste keer dat Goldshlager Facebook hackt. In maart 2013 wist de hacker Facebooks OAuth-authenticatie te omzeilen, nadat hem dat eind februari ook al eens was gelukt. Bij de vorige hack wist Goldshlager ook een kwetsbaarheid in redirects op Facebook uit te buiten.
Nir Goldshlager is een white-hat-hacker en rapporteert beveiligingsproblemen die hij opspoort bij de websites in kwestie. De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.
Bron: Tweakers.net