Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla

Indický bezpečnostní inženýr Anand Prakash objevil závažnou zranitelnost v zabezpečení největší sociální sítě. Umožňovala změnu hesla oběti jen za pomoci hrubé síly.

Zranitelnost se nacházela v mechanismu obnovy zapomenutého hesla. Uživatel má v takovém případě možnost zaslání kódu pro obnovení hesla přes e-mail nebo telefon. Šestimístné číslo následně zadá přímo na Facebooku, přičemž nastaví heslo nové.

Síť podle Prakashe blokuje zadávání kódu po 10 až 12 neúspěšných pokusech. Omezení se však dalo obejít přístupem přes adresy beta.facebook.com či mbasic.beta.facebook.com, kde nebylo implementováno. Útočník tak mohl hádáním číselných kombinací získat přístup k cílenému účtu. Znamená to sice milion možností, ale pro automatický skript by to byla jednoduchá, výkonově nenáročná úloha.

Po nastavení nového hesla se hacker přihlásí do účtu za pomoci e-mailu nebo telefonního čísla dané osoby. Může jít o známé údaje zejména v případech, kdy svou oběť zná.

Ukázka chyby na videu:

Facebook se o chybě dozvěděl 22. února a chybu ihned s přispěním Prakashe opravil. Ind na oplátku dostal odměnu ve výši 15 tisíc amerických dolarů (370 tisíc korun).

Článek patří do rubrik: Bezpečnost, Sociální sítě, Facebook, Heslo

9 komentářů

Nejnovější komentáře

  • Roman Vronek , 10. 3. 2016 14:31:32
    Kdyby to Ind rozjel ve velkém a ukradl pár zajímavých účtů (a vytahal z...
  • MLML , 10. 3. 2016 7:53:19
    Síť podle Prakash, alespoň podle pana Martin Hodás.
  • thegrid , 9. 3. 2016 23:21:34
    Tak to ten Ind má vystaráno i s celou vesnicí nadosmrti.

Určitě si přečtěte


9 internetových příspěvků, které patří k legendám: jak se oznamovaly velké věci 30 let před Facebookem

9 internetových příspěvků, které patří k legendám: jak se oznamovaly velké věci 30 let před Facebookem

** Internet, fóra a komunita tu byly dávno před příchodem WWW ** Takto legendy oznamovaly své novinky ** Takto se tehdy svět dozvídal o Windows

25.  8.  2016 | Jakub Čížek | 15

Seznam spustil Porno Detektor. Pokouší se poznat holé zadky i opravdové čuňárny

Seznam spustil Porno Detektor. Pokouší se poznat holé zadky i opravdové čuňárny

** Seznam.cz testuje nový algoritmus, který odhaluje pornografické obrázky ** Rozhodování, co je a co není za hranou, není jednoznačné ** Do budoucna může technologie pomoci při filtraci obsahu ve vyhledávači

25.  8.  2016 | Jakub Čížek | 23

Před 25 se zrodil Linux. Nejdůležitější a nejrozšířenější kus softwaru v dějinách

Před 25 se zrodil Linux. Nejdůležitější a nejrozšířenější kus softwaru v dějinách

** Linux je tu už 25 let ** Z malého projektu se proměnil v nejdůležitější program ** Řídí superpočítače, servery, Android a nejspíše i váš Wi-Fi router

23.  8.  2016 | Jakub Čížek | 159

5 služeb, kde lze sledovat přímé přenosy z hraní her

5 služeb, kde lze sledovat přímé přenosy z hraní her

** Přímé přenosy z hraní her už zdaleka nepatří jen k turnajům ** Kdokoliv může do světa streamovat svoje virtuální snažení ** Twitch je zatím dominantní, konkurence však roste

27.  8.  2016 | Stanislav Janů | 22


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.