Pratite nas preko RSS-aFacebook ispravio propust koji je omogućavao resetovanje lozinki naloga korisnika
Društvene mreže, 08.03.2016, 01:00 AM
Facebook je isplatio 15000 dolara istraživaču koji je otkrio propust koji je bilo moguće iskoristiti za hakovanje naloga na društvenoj mreži bez ikakve interakcije korisnika. On je ustvari otkrio jednostavan način za resetovanje lozinki naloga korisnika društvene mreže, promenu lozinke i preuzimanje profila.
Anand Prakaš iz Indije opisao je ovaj propust na svom blogu kao običan brute-force napad na formu za oporavak lozinke. To je moguće izvesti ali ne na glavnom Facebookovom sajtu koji je zaštićen od ovakvih automatizovanih napada.
Kada korisnik zaboravi lozinku za svoj Facebook nalog, on u formu mora da unese svoju email adresu ili broj telefona, povezan sa Facebook nalogom, da bi mu bio poslat šestocifreni kod putem SMS poruke. Taj kod se zatim unosi u formu za resetovanje lozinke da bi bio omogućen pristup stranici na kojoj se može promeniti lozinka.
Kada bi neko pokušao da pogodi šestocifreni kod na Facebookovom sajtu (facebook.com), bio bi blokiran posle 10 do 12 neuspešnih pokušaja.
Prakaš je otkrio da ova zaštita od brute-force napada ne radi na Facebookovoj beta platformi (beta.facebook.com) na kojoj se testira većina Facebookovih funkcija pre nego što one budu dostupne na glavnoj platformi.
Uz pomoć jednostavnog brute-force alata, Prakaš je isprobao sve moguće kombinacije dok nije pogodio ispravan šestocifreni kod. Facebook beta platforma ne blokira korisnike koji ne unesu ispravan kod posle 10-12 pokušaja. Prakaš je uspeo da resetuje lozinku svog naloga a to bi mogao da uradi i sa nalogom nekog drugog korisnika. Jedini uslov je da napadač zna broj telefona ili email adresu povezanu sa nalogom koji je cilj napada.
Prakaš je ovaj propust Facebooku prijavio 22. februara, a kompanija ga je već sutradan ispravila. Međutim, ostalo je pitanje zašto beta i glavna platforma nemaju istu zaštitu i ispravke bagova, i koliko još bezbednosnih propusta postoji na beta platformi koji su ispravljeni na glavnoj platformi.
Izdvojeno
Meta upozorava: lažni WhatsApp instalira špijunski softver
Korisnici WhatsApp-a ponovo su meta špijunskog softvera, ali ovoga puta napad ne koristi tehničke ranjivosti već lažnu verziju aplikacije. Prema n... Dalje
Šta LinkedIn zna o vama: platforma optužena za praćenje 6.000 ekstenzija pregledača
LinkedIn se suočava sa ozbiljnim optužbama nakon objave izveštaja BrowserGatea, koji tvrdi da platforma prati hiljade ekstenzija pregledača instal... Dalje
Reddit uvodi verifikaciju korisnika: borba protiv botova bez narušavanja anonimnosti
Direktor kompanije Reddit, Stiv Hafman, obratio se korisnicima nakon reakcija na najave o mogućem uvođenju provere identiteta korisnika. U novoj por... Dalje
TikTok Business nalozi na meti fišing prevare koja zaobilazi 2FA
TikTok Business nalozi našli su se na meti nove fišing prevare koja koristi „protivnik u sredini“ (adversary-in-the-middle, AiTM) tehnik... Dalje
Roditelji skeptični prema zabrani TikToka: bezbednost dece zahteva više od jedne mere
Jedno nedavno istraživanje je otkrilo da roditelji sve više brinu o uticaju TikToka na decu, ali istovremeno nisu uvereni da bi zabrana platforme do... Dalje
Pratite nas
Nagrade
Prijatelji
