Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla

Indický bezpečnostní inženýr Anand Prakash objevil závažnou zranitelnost v zabezpečení největší sociální sítě. Umožňovala změnu hesla oběti jen za pomoci hrubé síly.

Zranitelnost se nacházela v mechanismu obnovy zapomenutého hesla. Uživatel má v takovém případě možnost zaslání kódu pro obnovení hesla přes e-mail nebo telefon. Šestimístné číslo následně zadá přímo na Facebooku, přičemž nastaví heslo nové.

Síť podle Prakashe blokuje zadávání kódu po 10 až 12 neúspěšných pokusech. Omezení se však dalo obejít přístupem přes adresy beta.facebook.com či mbasic.beta.facebook.com, kde nebylo implementováno. Útočník tak mohl hádáním číselných kombinací získat přístup k cílenému účtu. Znamená to sice milion možností, ale pro automatický skript by to byla jednoduchá, výkonově nenáročná úloha.

Po nastavení nového hesla se hacker přihlásí do účtu za pomoci e-mailu nebo telefonního čísla dané osoby. Může jít o známé údaje zejména v případech, kdy svou oběť zná.

Ukázka chyby na videu:

Facebook se o chybě dozvěděl 22. února a chybu ihned s přispěním Prakashe opravil. Ind na oplátku dostal odměnu ve výši 15 tisíc amerických dolarů (370 tisíc korun).

Témata článku: Facebook, Bezpečnost, Sociální sítě, Heslo, Facebook.com, Takeover

9 komentářů

Nejnovější komentáře

  • Roman Vronek 10. 3. 2016 14:31:32
    Kdyby to Ind rozjel ve velkém a ukradl pár zajímavých účtů (a vytahal z...
  • MLML 10. 3. 2016 7:53:19
    Síť podle Prakash, alespoň podle pana Martin Hodás.
  • thegrid 9. 3. 2016 23:21:34
    Tak to ten Ind má vystaráno i s celou vesnicí nadosmrti.
Určitě si přečtěte

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 79

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

** Příští roky budou ve znamení internetu věcí ** Podívali jsme se podrobně na síť Sigfox ** Takhle s ní komunikují krabičky z celé Evropy

19.  3.  2017 | Jakub Čížek | 18

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

** Srovnali jsme známá cloudová úložiště podle toho, kolik měsíčně zaplatíte za 1TB ** Ceny se pohybují od dvou stovek až po tisíc korun ** Google umožní uložit až 30 TB dat

18.  3.  2017 | Stanislav Janů | 115

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C