O problemă de securitate a fost rezolvată rapid de Facebook, după ce aceasta a fost raportată de un expert în domeniu.
În cazul particular raportat de Ron Masas de la Imperva, atacatorul putea dobândi acces la datele utilizatorilor Facebook prin implementarea unui IFRAME într-o pagină web.
Procedura poartă numele de CSRF, “cross-site request forgery”și putea fi folosită de un site pentru a trimite interpelări către un alt tab din browser în care se deschidea o pagină Facebook cu un utilizator logat.
Astfel, Facebook trimitea răspunsuri de forma Da sau Nu la anumite interpelări, iar atacatorul putea afla dacă utilizatorul urmărește o anumită pagină sau face parte dintr-un anumit grup.
Puteau, de asemenea, fi folosite și interpelări mai complexe care să aducă în posesia atacatorului date demografice detaliate privind utilizatorii vizați.
Atacurile de tip CSRF nu sunt specifice Facebook, ci pot viza orice site, deoarece profită de comportamentul actual al browser-elor web. Cu alte cuvinte, Facebook și-a depășit atribuțiile de securitate în acest caz, făcând munca dezvoltatorilor de browsere web pentru a-și proteja utilizatorii.
Expertul în securitate cibernetică care a raportat bug-ul a fost recompensat de Facebook 16.000 de dolari, iar problema a fost rezolvată înainte de a fi făcută publică.
