Nezabezpečený Facebook, hackeři mohli kvůli chybě do jakéhokoli účtu
Příliš snadný způsob
Kritická chyba Facebooku umožňovala případným zájemcům dostat se do jakéhokoliv účtu a získat tak citlivé informace včetně kreditních karet a dalších osobních údajů o milionech uživatelů. Hackeři využili slabiny této sociální sítě, díky které mohli neomezeně zkoušet zadávání kontrolního kódu při zapomenutí hesla profilu. Chybu, za jejíž odhalení si indický bezpečnostní analytik vysloužil od Facebooku odměnu 15 tisíc dolarů, již firma napravila, píše The Independent.
Indický bezpečnostní analytik Anand Prakaš získal 15 tisíc dolarů za odhalení potenciálně velmi nebezpečné chyby. Facebook totiž umožňoval donekonečna zadávat kontrolní kód a kdokoliv se základními znalostmi práce na počítači mohl i laickou metodou pokusu a omylu získat přístup do cizích účtů.
Většina větších serverů a stránek spravujících cizí účty a profily mají právě proti tomuto ochranu, která po opakovaném nesprávném zadávání údajů po několika pokusech profil zablokuje. To je nastaveno i na Facebooku, limit nesprávných pokusů ale nebyl nastaven pro opakované špatné zadání kontrolního kódu na serverech s doménou beta.facebook.com a mbasic.beta.facebook.com, kde bezpečnostní mezeru mohli hackeři využít.
Číselné heslo, které uživatelům v případě zapomenutí původního hesla přijde na mobil nebo email, tak mohl počítačový útočník zkoušet neustále. Kromě poněkud zdlouhavé ruční metody existují i programy, které budou zadávání kódů do určitých formulářů zadávat za vás. A absence písmen v případě tohoto kontrolního kódu učinila pro automatizované roboty tento úkol ještě o něco snazší.
„Jak můžete vidět na videu, byl jsem schopný nastavit nové heslo uživatele pomocí útoku hrubou silou kódem, který byl zaslán na vaši emailovou adresu/mobilní číslo,“ napsal na své stránky Anand Prakaš, který sám sebe nazývá „bug bounty hunterem“ nebo lovcem odměn za podobné chyby, které mu následně firmy jako díky vyplácí.
V tomto případě mohla někoho překvapit výše odměny, která se svými 15 tisíci dolary dosáhla na částku, kterou si celá řada Američanů vydělá za jeden rok. Vyšší suma tak mohla odpovídat závažnosti problému, který de facto znamenal odevzdání kompletní internetové identity útočníkovi. Kromě osobních zpráv, fotografií a možnosti manipulace s údaji mohli hackeři získat kontrolu nad spárovanými kreditními kartami. Závažná chyba této největší sociální sítě již byla podle The Independent Facebookem napravena.