С 2016 года в браузерах Google Chrome и Mozilla Firefox работала уязвимость, которая позволяла сайтам получать информацию о Facebook-профилях посетителей, а также фотографии профилей и лайки, если те посещали сайт, на котором был установлен специальный скрипт.
Об этом сообщает издание ArsTechnica.
К такому выводу пришли две различные исследовательские группы в области безопасности.
Данную проблему Chrome устранил в прошлом году в версии 63, а две недели назад то же самое сделала Mozilla в Firefox 60.
Сообщается, что причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется “mix-blend-mode” и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом “слива” были просто пиксели — баг не позволял выгружать целые картинки или посты.
Сайты анализировали то, что “видели” на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или изображения их профилей.
Несмотря на то, что конкретно эта уязвимость пользователям, обновившим свои браузеры до актуальных версий, больше не угрожает специалисты крайне озабочены все более мощными графическими возможностями, которые постепенно добавляют в HTML5 и CSS. Эксперты считают, что эти возможности могут привести к появлению новых похожих проблем безопасности в будущем.
“CSS, HTML и JavaScript обладают многими функциями, которые могут стать проблемой для безопасности”, — цитирует эксперта Дарио Вейссера издание.Кроме этого, специалист разработал PoC-код, который использовал iframe и социальный плагин Facebook для извлечения информации о профиле Facebook (имена, фото профиля, лайки).
16 мая основатель и глава Facebook Марк Цукерберг согласился выступить в Европарламенте и дать объяснения по поводу скандала с утечкой персональных данных пользователей соцсети.
12 февраля сообщалось, что в прошлом году хакеры похитили личные данные 143 миллионов американцев, включая имена, номера социального страхования, даты рождения, адреса проживания, номера водительских и некоторые номера кредитных карт. Утечку допустило одно из крупнейших бюро кредитных историй в мире, Equifax. Издание The Wall Street Journal уверяет, что данных было похищено намного больше.
13 декабря 2017 года группа исследователей 4iQ обнаружила крупнейшую за всю историю наблюдений базу данных учетных записей. Она содержит порядка 1,4 миллиарда логинов, паролей и электронных адресов.
15 ноября 2017 года специалисты компании Google и представители Калифорнийского университета Беркли провели исследование об основных способах кражи паролей.