إخترق حساب FB”” أي شخص بمجرد نقره على رابط

اكتشف باحث أمني نقطة ضعف مهمة في التزوير عبر المواقع (CSRF) في النظام الأساسي الأكثر شعبية
على الشبكات الاجتماعية والتي كان من الممكن السماح للمهاجمين باختطاف حسابات Facebook من خلال
خداع المستخدمين المستهدفين ببساطة بالنقر فوق الارتباط.

اكتشف الباحث ، الذي ينتمي إلى الاسم المستعار على الإنترنت “Samm0uda” ، الضعف بعد أن
اكتشف نقطة
نهائية معيبة (facebook.com/comet/dialog_DONOTUSE/) كان من الممكن
استغلالها لتجاوزحماية CSRF 
وحساب الضحية.

كل ما يحتاج إليه المهاجم هو خداع الضحايا للنقر على عنوان URL خاص بفيسبوك تم تصميمه خصيصًا ،
كما هو مذكور في مدونته ، والمصممة لتنفيذ إجراءات متنوعة مثل نشر أي شيء على جدوله الزمني ،
أو تغيير صورة ملفه الشخصي أو حذفها ، وحتى خداع المستخدمين لحذفهم حسابات الفيسبوك كاملة.

1 انقر فوق استغلال للاستيلاء على حسابات فيس بوك بالكامل

إن السيطرة الكاملة على حسابات الضحايا أو خداعهم لحذف حسابهم على Facebook بالكامل يتطلب بعض
الجهود الإضافية من جانب المهاجم ، حيث يحتاج الضحايا إلى إدخال كلمة المرور الخاصة بهم قبل حذف الحساب.

للقيام بذلك ، قال الباحث إنه سيطلب من الضحايا زيارة اثنين من عناوين URL منفصلة ، واحدة لإضافة البريد
الإلكتروني أو رقم الهاتف والآخر لتأكيدها.

“لأن” نقاط النهاية “العادية” المستخدمة لإضافة رسائل البريد الإلكتروني أو أرقام الهواتف لا تحتوي على معلمة
“تالية” لإعادة توجيه المستخدم بعد طلب ناجح ، “يقول الباحث.

ومع ذلك ، فإن الباحث لا يزال يجعل الاستيلاء على الحساب الكامل ممكنًا باستخدام عنوان URL واحد عن طريق
العثور على نقاط النهاية حيث توجد المعلمة “التالية” وتفويض تطبيق ضار نيابةً عن الضحايا والحصول على الرمز
المميز للوصول إلى Facebook.

من خلال الوصول إلى رموز المصادقة الخاصة بالضحايا ، يضيف الاستغلال تلقائيًا عنوان البريد الإلكتروني الذي
يتحكم فيه المهاجم إلى حسابه ، مما يسمح للمهاجم بالسيطرة على الحسابات بالكامل ببساطة عن طريق
إعادة تعيين كلمات المرور الخاصة به وإغلاق المستخدمين الشرعيين خارج حساباتهم على Facebook.

على الرغم من أن عملية الاستيلاء الكاملة على حساب Facebook تضمنت خطوات متعددة ،
إلا أن الباحث قالإن الاستفادة الكاملة بنقرة واحدة كانت ستسمح لأي مستخدم خبيث باختطاف
حسابك على فيسبوك “في غمضة عين”.

بعض النصائح للتخفيف من الهجمات أو العمليات الخداعية :

يمكن التخفيف من مثل هذه الهجمات الاستيلاء على الحساب إذا قمت بتمكين المصادقة الثنائية لحساب
Facebook الخاص بك ، ومنع المتسللين من تسجيل الدخول إلى حساباتك حتى أو ما لم يتحققوا من رمز
المرور المكون من 6 أرقام المرسلة إلى جهازك المحمول.

ومع ذلك ، فإن أي تخفيف قد لا يمنع المتسللين من تنفيذ بعض الإجراءات نيابةً عنك ، وذلك من خلال
الاستفادة من هذه الثغرة الأمنية ، مثل تغيير صور ملفاتك الشخصية أو ألبوماتك أو حذفها أو نشر أي
شيء على مخططك الزمني.

أفاد Samm0uda عن الضعف مع تفاصيل استغلاله على Facebook في 26 يناير. أقرت شركة الإعلام
الاجتماعي العملاق بهذه القضية وتصدت لها في 31 يناير ، مما يكافئ الباحث بمبلغ 25،000 دولار
كجزء من برنامج مكافآت علة Facebook.

‫شاهد أيضًا‬

4 أخطاء يجب تجنبها عند شراء كمبيوتر محمول جديد

كتبت: بيسان الخاروف. يعد الكمبيوتر المحمول، أكثر تعقيدا من جهاز الكمبيوتر “سطح المكت…