Το ποσό των 15.000 ευρώ, ως μπόνους, έδωσε σε έναν Ινδό ερευνητή ασφαλείας δικτύων το Facebook, επειδή ανακάλυψε έναν απλό τρόπο για την επαναφορά κωδικών πρόσβασης σε λογαριασμούς άλλων, ορίζοντας ένα νέο κωδικό πρόσβασης που γνώριζε μόνο αυτός, με αποτέλεσμα η εταιρεία να προχωρήσει στη διόρθωση του bug.

Ο άνθρωπος που ανακάλυψε το κενό ασφαλείας και βοήθησε το Facebook να το διορθώσει πριν γίνουν κακόβουλες ενέργειες είναι ο Anand Prakash.

Όπως περιγράφει στο blog του, το ζήτημα είναι στην πραγματικότητα μια ασήμαντη επίθεση brute-force στη φόρμα ανάκτησης κωδικών πρόσβασης, και όχι στην κεντρική ιστοσελίδα του Facebook, η οποία προστατεύεται από αυτού του τύπου αυτοματοποιημένες επιθέσεις.

Η φόρμα ανάκτησης κωδικών μπορεί να χρησιμοποιηθεί κάθε φορά που ένας χρήστης ξεχνάει τον κωδικό πρόσβασής του στο Faceboοk. Θα πρέπει να συμπληρώσει μια φόρμα με τη διεύθυνση του ηλεκτρονικού του ταχυδρομείου ή τον αριθμό τηλεφώνου, που σχετίζεται με το λογαριασμό του στο Faceboοk.

Μετά την είσοδο αυτών των δύο στοιχείων, ο χρήστης θα παραλάβει ένα εξαψήφιο κωδικό μέσω SMS, που θα εισάγει στη φόρμα επαναφοράς κωδικού πρόσβασης για να του επιτραπεί η πρόσβαση σε μια σελίδα όπου μπορεί να αλλάξει τον κωδικό πρόσβασης του λογαριασμού του.

Αν κάποιος προσπαθήσει ποτέ να μαντέψει αυτόν το εξαψήφιο κωδικό από τη κεντρική ιστοσελίδα του Facebοok (facebook.com), θα αποκλειστεί μετά από 10 ή 12 άκυρες προσπάθειες.

Ο κ Prakash ανακάλυψε ότι αυτό το όριο προστασίας από brute-force δεν ήταν ενεργό σε beta πλατφόρμα του Facebοok, που είναι προσβάσιμη από τη διεύθυνση beta.facebook.com.

Είναι η πλατφόρμα που χρησιμοποιεί το Faceboοk για να δοκιμάσει τα νέα χαρακτηριστικά πριν τα διαθέσει στο ευρύ κοινό μέσα από την κύρια πλατφόρμα.

Έτσι χρησιμοποιώντας ένα απλό εργαλείο brute-force, ο κ Prakash ήταν σε θέση να ανακαλύψει τον εξαψήφιο κωδικό που χρειαζόταν για να έχει πρόσβαση σε κάθε λογαριασμό.

Μέσω ενός απλού script, ο ερευνητής δοκίμαζε όλους τους δυνατούς συνδυασμούς μέχρι να μαντέψει το σωστό εξαψήφιο κωδικό. Όλα τα υπόλοιπα ήταν εύκολα.

Ο ερευνητής ανακάλυψε το θέμα στις 22 Φεβρουαρίου, το ανέφερε στο Facebοok, και η εταιρεία το επιδιόρθωσε την επόμενη ημέρα.

Παρακάτω είναι το βίντεο PoC που δημοσιεύτηκε από τον ερευνητή.

loading...
loading...
ΔΕΙΤΕ ΕΠΙΣΗΣ
To altsantiri.gr θεωρεί δικαίωμα του κάθε αναγνώστη να εκφράζει ελεύθερα τις απόψεις του. Ωστόσο, τονίζουμε ρητά ότι δεν υιοθετούμε τις απόψεις αυτές καθώς εκφράζουν τον εκάστοτε χρήστη και μόνο αυτόν. Παρακαλούμε πολύ να είστε ευπρεπείς στις εκφράσεις σας. Τα σχόλια με ύβρεις εφόσον εντοπίζονται θα διαγράφονται, ενώ οι χρήστες που προκαλούν ή υβρίζουν θα αποκλείονται.