تنها یک کلیک روی یک آدرس اینترنتی خاص به مهاجم اجازه میدهد تا بدون هیچ تعامل دیگری به حساب فیسبوک کاربر نفوذ کند. یکی از پژوهشگران امنیتی یک آسیبپذیری جعل درخواست بین وبسایتی (CSRF) در فیسبوک کشف کرده است که به مهاجم اجازه میدهد تا با فریب کاربران هدف برای کلیک روی یک لینک، حسابهای فیسبوک آنها را بهسرقت ببرد. این پژوهشگر پس از مشاهدهی نقطهی انتهایی که تحت تأثیر این آسیبپذیری توانسته بود محافظتهای CSRF را دور بزند و کنترل حساب قربانی را بهدست آورد، این آسیبپذیری را کشف کرد. این نقطهی انتهایی در دامنهی اصلی فیسبوک قرار گرفته است که کار مهاجم را در فریب قربانی برای بازدید از آدرس اینترنتی موردنظر آسان میکند.
کل کاری که مهاجم باید انجام دهد این است که قربانیان را فریب دهد تا روی یک آدرس اینترنتی خاص فیسبوک کلیک کنند. این لینک برای انجام اقدامات مختلف مانند ارسال آیتم، تغییر یا حذف تصویر پروفایل طراحی شده است و حتی کاربران را فریب میدهد تا حسابهای فیسبوک خود را حذف کنند. کنترل کامل حسابهای قربانیان یا فریب آنها برای حذف کامل حساب فیسبوک نیاز به تلاشهای مضاعفی از جانب مهاجم دارد، زیرا قربانیان قبل از حذف حساب خود باید گذرواژهی خود را وارد کنند.
برای انجام این کار قربانیان باید از دو آدرس اینترنتی جداگانه بازدید کنند، که یکی از آنها برای افزودن ایمیل یا شمارهتلفن و دیگری برای تأیید آن است. با دسترسی به توکنهای احراز هویت قربانیان، این بهرهبرداری بهطور خودکار یک آدرس ایمیل تحت کنترل مهاجم را به حساب آنها اضافه میکند، درنتیجه به مهاجم اجازه میدهد تا با تنظیم مجدد گذرواژهها و مسدود کردن دسترسی کاربران قانونی به حسابهای فیسبوک، بهطور کامل کنترل حساب آنها را بهدست آورد. با فعال کردن احراز هویت دو مرحلهای برای حساب فیسبوک میتوان با چنین حملاتی مقابله کرد و مانع از ورود نفوذگران به حسابها شد.
