Facebook heeft een beveiligingslek in de sociale netwerksite gedicht, waardoor aanvallers persoonlijke informatie van afgesloten profielen konden stelen, zoals volledige naam, profiel afbeelding en vriendenlijst. Ook de naam en foto van vrienden waren voor aanvallers toegankelijk en werden verstrekt zonder dat de gebruiker dit door had. Om de aanval uit te voeren moest de aanvaller op een website een HTML IMG tag plaatsen en slachtoffers zover krijgen dat ze die bekeken. Volgens Ronen Zilberman die de kwetsbaarheid ontdekte en aan Facebook rapporteerde, gaat het om een uniek soort CRSF-aanval. Niet alleen veroorzaakt de hacker een actie in naam van de gebruiker, hij ontvangt ook de gestolen informatie via de Facebook applicatie server.

"De aanval is in zijn uiteindelijke vorm zeer krachtig en verraste mij zelfs", zo merkt Zilberman op. De kwetsbaarheid in kwestie betreft een fout in het Automatische Authenticatie proces. De rest van de aanval is gebaseerd op het normale gedrag van de browser en servers. "Daarom neem ik aan dat deze aanvalsmethode ook op andere sites werkt die persoonlijke informatie verzamelen." Op Facebook is het lek inmiddels gepatcht.


bron: security.nl