Facebook’ta güvenlik sorunları bitmek bilmiyor. Popüler sosyal ağda yer alan bir açık yüz binlerce kişinin beğendiği sayfalar kısmına spam bir sayfayı eklemesine yol açtı. Tüm dünya genelinde geçerli olan açık ülkemizde de “bir oturuşta 74 lahmacun yiyen adam” sayfası olarak yansıdı.
Facebook’ta güvenlik sorunları bitmek bilmiyor. Popüler sosyal ağda yer alan bir açık yüz binlerce kişinin beğendiği sayfalar kısmına spam bir sayfayı eklemesine yol açtı. Tüm dünya genelinde geçerli olan açık ülkemizde de “bir oturuşta 74 lahmacun yiyen adam” sayfası olarak yansıdı.
Söz konusu açık aslında oldukça basit ancak son derece etkili bir yöntemi kullanıyor. Arkadaşlarınızdan birisinin profilinde beliren “ X bir oturuşta 74 lahmacun yiyen adam sayfasını beğendi” linkine tıkladığınızda içinde sadece “devam etmek için buraya basınız” yazılı bir sayfa açılıyor. Sayfanın herhangi bir yerine tıkladığınızda ise profilinizde otomatik olarak bu linki beğendiğiniz ekleniyor ve arkadaşlarınız profilinizde sahte sayfanın beğenildiği ibaresini görüyor.
Bildirilen haberlere göre özellikle hafta sonundan bu yana aynı kandırmaca dünyanın pek çok farklı ülkesinde benzer komik sayfa adları ile yayıldı ve etkilenen kişi sayısı yüz binleri bulmuş durumda. Aslında yapılan bu kandırmaca yöntemi yeni değil. İlk olarak 2008 yılında uygulama güvenliği araştırmacıları Jeremiah Grossman ve Robert “RSnake” Hansen bu tipte bir güvenlik açığı fark ederek buna “Clickjacking” adını takmışlar.
Clickjacking kısaca zararlı kodlar içeren web sitesi yayıncılarının bir saldırı yöntemi ile kullanıcıların tıkladığı linkleri kontrol etmesine imkan veriyor. Her ne kadar bazı Web tarayıcılarda bu işlemi zorlaştıran güvenlik tedbirleri mevcutsa da aslında saldırı tüm tarayıcılarda çalışabilme özelliğine sahip.
Facebook vakasındaki Clickjack kurtçuğu linki verilen sayfada yer alan görünmez bir iframe kullanıyor. Bu sayede sayfa üzerinde herhangi bir yer tıklandığında kurbanın Facebook sayfasına geri link veriliyor ve profilinde otomatik olarak bu sayfanın beğenildiği yazısı çıkıyor.
Geçtiğimiz yıl benzer bir saldırı Tweeter üzerinde de yaşanmış ve kullanıcılar kendi iradeleri dışında tweetler yollamışlardı. Saldırı ancak firma yetkililerinin sitede onarım yapması ile durdurulabilmişti. Facebook yetkililerinin de bir an önce bir bakım çalışması yapması gerekecek. Bu saldırıların özellikle ABD’deki 3 günlük tatil döneminde başlaması ise erken müdahaleyi zorlaştırmış gibi gözüküyor.