Pratite nas preko RSS-aFacebook ispravio propust koji je omogućavao resetovanje lozinki naloga korisnika
Društvene mreže, 08.03.2016, 01:00 AM
Facebook je isplatio 15000 dolara istraživaču koji je otkrio propust koji je bilo moguće iskoristiti za hakovanje naloga na društvenoj mreži bez ikakve interakcije korisnika. On je ustvari otkrio jednostavan način za resetovanje lozinki naloga korisnika društvene mreže, promenu lozinke i preuzimanje profila.
Anand Prakaš iz Indije opisao je ovaj propust na svom blogu kao običan brute-force napad na formu za oporavak lozinke. To je moguće izvesti ali ne na glavnom Facebookovom sajtu koji je zaštićen od ovakvih automatizovanih napada.
Kada korisnik zaboravi lozinku za svoj Facebook nalog, on u formu mora da unese svoju email adresu ili broj telefona, povezan sa Facebook nalogom, da bi mu bio poslat šestocifreni kod putem SMS poruke. Taj kod se zatim unosi u formu za resetovanje lozinke da bi bio omogućen pristup stranici na kojoj se može promeniti lozinka.
Kada bi neko pokušao da pogodi šestocifreni kod na Facebookovom sajtu (facebook.com), bio bi blokiran posle 10 do 12 neuspešnih pokušaja.
Prakaš je otkrio da ova zaštita od brute-force napada ne radi na Facebookovoj beta platformi (beta.facebook.com) na kojoj se testira većina Facebookovih funkcija pre nego što one budu dostupne na glavnoj platformi.
Uz pomoć jednostavnog brute-force alata, Prakaš je isprobao sve moguće kombinacije dok nije pogodio ispravan šestocifreni kod. Facebook beta platforma ne blokira korisnike koji ne unesu ispravan kod posle 10-12 pokušaja. Prakaš je uspeo da resetuje lozinku svog naloga a to bi mogao da uradi i sa nalogom nekog drugog korisnika. Jedini uslov je da napadač zna broj telefona ili email adresu povezanu sa nalogom koji je cilj napada.
Prakaš je ovaj propust Facebooku prijavio 22. februara, a kompanija ga je već sutradan ispravila. Međutim, ostalo je pitanje zašto beta i glavna platforma nemaju istu zaštitu i ispravke bagova, i koliko još bezbednosnih propusta postoji na beta platformi koji su ispravljeni na glavnoj platformi.
Izdvojeno
Grok AI na mreži X korišćen za „svlačenje“ žena i dece, francuske vlasti pokrenule istragu
Francuske vlasti pokrenule su istragu o tome kako je Grok, AI asistent platforme X (bivši Twitter), mogao i smeo da generiše seksualno eksplicitne d... Dalje
Meta demantuje navode o curenju podataka sa 17 miliona Instagram naloga
Instagram je potvrdio da je ispravio grešku koja je omogućavala masovno slanje zahteva za resetovanje lozinke, nakon što su se pojavile tvrdnje da ... Dalje
Profit ispred bezbednosti: Meta zaradila milijarde od prevarantskih oglasa na Facebooku i Instagramu
Meta se ponovo našla na udaru kritika nakon istrage Rojtersa, koja navodi da je kompanija ostvarila milijarde dolara prihoda od prevarantskih oglasa ... Dalje
U strahu od novih kazni, Meta uvodi opciju smanjenog deljenja podataka
Evropska komisija je u ponedeljak odobrila Metin predlog kojim se korisnicima Instagrama i Fejsbuka pruža mogućnost da dele manje ličnih podataka ... Dalje
Korisnici Facebooka i Instagrama dobijaju AI podršku 24/7 i jednostavniji oporavak hakovanih naloga
Meta je najavila da uvodi niz novih alata za Facebook i Instagram kako bi korisnicima omogućila jednostavniji pristup podršci 24/7, brži oporavak n... Dalje
Pratite nas
Nagrade
Prijatelji
