У сотрудников Facebook в последнее время хватает работы по затыканию "дыр" в своём сервисе. Одна за другой обнаруживаются уязвимости в системе безопасности сервиса. так например одна из последних уязвимостей позволяла удалять у пользователей этой социальной сети всех их "френдов". А началась история  с того, что аналитик Alert Logic М.Дж. Кейт (M.J. Keith) опубликовал на сайте своей компании информацию о критической уязвимости Facebook, связанной с некорректно реализованной защитой от CSRF-атак. Она заключалась в том, что со стороны сервера не осуществлялась проверка на существование специального "защитного" параметра "post_form_id". Получив от Alert Logic информацию о "дыре", специалисты Facebook в течение нескольких дней её "залатали", поэтому Кейт со спокойной совестью предал эти сведения гласности. Однако некий нью-йоркский студент Стивен Аббаньяро (Steven Abbagnaro) решил проверить, действительно ли Facebook устранил данную проблему. Поэкспериментировав немного с запросами, Аббаньяро обнаружил, что по крайней мере в одном месте проверка на существование параметра "post_form_id" до сих пор не проводится. Это позволило любознательному студенту создать вредоносный сайт, посетив который любой пользователь Facebook (будучи залогиненным, разумеется) тут же лишался всех своих "френдов".

К чести Аббаньяро следует заметить, что вредоносный сайт был создан им на локальном веб-сервере, однако опубликованной им информацией мог воспользоваться любой злоумышленник. Он сообщил в Facbeook о проблеме ещё в минувшую среду, 19 мая. В субботу Аббаньяро обновил запись в своём блоге информацией о том, что 21 мая Facebook уже залатал "дыру". Правда, за это время история уже получила огласку — в частности на IDG News. Журналист этого издания Роберт Макмиллан (Robert McMillan) успел даже связаться с М.Дж. Кейтом по email, и тот признался, что буквально сражён наповал этими известиями. Судя по всему, данной "дырой" так никто и не воспользовался — видимо, по той причине, что из неё трудно извлечь выгоду. Впрочем, порой вирусописатели терзают Facebook и без всякой выгоды: на прошлой неделе социальную сеть атаковал червь, который только и делал, что размножался, публикуя от имени юзеров статус-сообщения с вредоносной ссылкой. Атака была довольно оперативно отражена специалистами F-Secure, но осадок то остался!