Протоколы единого входа, позволяющие, например, заходить в с помощью аккаунтов Google или Facebook в другие онлайн-сервисы, имеют уязвимости, с помощью которых мошенники могут пользоваться чужими верительными данными, утверждают исследователи из Индианского университета в Блумингтоне и подразделения Microsoft Research. Они нашли серьезные бреши в OpenID и системе единого входа Facebook.
При использовании единого входа посещаемый сайт запрашивает у поставщика идентифицирующего аккаунта подтверждение некоторой информации. Выяснилось, что не все сайты следят за тем, чтобы при верификации по OpenID подтверждались все запрошенные поля (например, имя, фамилия и адрес электронной почты). Исследователи смогли сделать запрос, исключить одно из полей (адрес) перед отправкой в OpenID, а затем вставить его в уже подписанное подтверждение от OpenID. Это позволило бы хакеру, не владеющему данным адресом, входить под чужим логином.
Исследователи также смогли заходить на сторонние сайты с помощью чужих логинов Facebook. Все найденные ими бреши уже устранены, утверждают авторы, но по их мнению, на сайтах с единым входом может быть еще «масса похожих проблем».