Istý bezpečnostný inžinier z Indie objavil na najväčšej sociálnej sieti banálnu chybu, ktorá však predstavovala veľký problém. Bolo totiž možné získať prístup k akémukoľvek účtu.
Anand Prakash pracuje v Indii ako bezpečnostný inžinier. Nedávno objavil na Facebooku prítomnosť závažnej chyby a našiel spôsob, ako získať prístup k ľubovoľnému účtu a to celkom jednoduchým spôsobom. V prípade, že zabudnete heslo k svojmu Facebook účtu, máte možnosť vytvoriť si nové. Funguje to tak, že Facebook vám na mobilný telefón alebo emailovú adresu zašle 6-miestny kód, ktorý zadáte na Facebook stránke pre obnovu hesla. Normálne máte k dispozícii 12 pokusov na zadanie kódu aby nebolo možné vyskúšať všetky kombinácie.
Beta verzia Facebooku na adrese beta.facebook.com však túto ochrannú funkciu nemala a bolo tak možné zadávať všetky kombinácie kódov a robiť tak v podstate brute-force útok. Takýmto spôsobom bolo možné získať heslo k akémukoľvek účtu na Facebooku a Anand tvrdí, že videl fotky používateľov a uložené čísla kreditných či debetných kariet a iné informácie. Anand nahral aj video, na ktorom demonštruje svoj postup.
Táto slabina bola našťastie objavená čestným človekom, ktorý ju nahlásil sociálnej sieti ešte 22. februára. Facebook potvrdil existenciu chyby, opravil ju a Ananda odmenil sumou $15 000.
Zdroj: gizmodo
Pridať nový komentár