Trazi

Facebook ispravio propust koji je omogućavao resetovanje lozinki naloga korisnika

Društvene mreže, 08.03.2016, 01:00 AM

Facebook ispravio propust koji je omogućavao resetovanje lozinki naloga korisnika

Facebook je isplatio 15000 dolara istraživaču koji je otkrio propust koji je bilo moguće iskoristiti za hakovanje naloga na društvenoj mreži bez ikakve interakcije korisnika. On je ustvari otkrio jednostavan način za resetovanje lozinki naloga korisnika društvene mreže, promenu lozinke i preuzimanje profila.

Anand Prakaš iz Indije opisao je ovaj propust na svom blogu kao običan brute-force napad na formu za oporavak lozinke. To je moguće izvesti ali ne na glavnom Facebookovom sajtu koji je zaštićen od ovakvih automatizovanih napada.

Kada korisnik zaboravi lozinku za svoj Facebook nalog, on u formu mora da unese svoju email adresu ili broj telefona, povezan sa Facebook nalogom, da bi mu bio poslat šestocifreni kod putem SMS poruke. Taj kod se zatim unosi u formu za resetovanje lozinke da bi bio omogućen pristup stranici na kojoj se može promeniti lozinka.

Kada bi neko pokušao da pogodi šestocifreni kod na Facebookovom sajtu (facebook.com), bio bi blokiran posle 10 do 12 neuspešnih pokušaja.

Prakaš je otkrio da ova zaštita od brute-force napada ne radi na Facebookovoj beta platformi (beta.facebook.com) na kojoj se testira većina Facebookovih funkcija pre nego što one budu dostupne na glavnoj platformi.

Uz pomoć jednostavnog brute-force alata, Prakaš je isprobao sve moguće kombinacije dok nije pogodio ispravan šestocifreni kod. Facebook beta platforma ne blokira korisnike koji ne unesu ispravan kod posle 10-12 pokušaja. Prakaš je uspeo da resetuje lozinku svog naloga a to bi mogao da uradi i sa nalogom nekog drugog korisnika. Jedini uslov je da napadač zna broj telefona ili email adresu povezanu sa nalogom koji je cilj napada.

Prakaš je ovaj propust Facebooku prijavio 22. februara, a kompanija ga je već sutradan ispravila. Međutim, ostalo je pitanje zašto beta i glavna platforma nemaju istu zaštitu i ispravke bagova, i koliko još bezbednosnih propusta postoji na beta platformi koji su ispravljeni na glavnoj platformi.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Greška na Instagramu otkrivala imejl adrese i brojeve telefona korisnika

Greška na Instagramu otkrivala imejl adrese i brojeve telefona korisnika

Kritična logička greška u veb verziji Instagramovog procesa za oporavak naloga 6. juna je otkrila pune imejl adrese i brojeve telefona povezane sa ... Dalje

Meta: Više od 20.000 Instagram naloga kompromitovano zbog propusta u AI sistemu za podršku

Meta: Više od 20.000 Instagram naloga kompromitovano zbog propusta u AI sistemu za podršku

Meta je saopštila da je više od 20.000 Instagram naloga kompromitovano nakon zloupotrebe propusta u AI sistemu za oporavak naloga poznatom kao High ... Dalje

YouTube uvodi vidljivije oznake za AI sadržaj

YouTube uvodi vidljivije oznake za AI sadržaj

YouTube uvodi vidljivije oznake za sadržaj generisan i izmenjen veštačkom inteligencijom, kao i nove sisteme za automatsko prepoznavanje sintetičk... Dalje

Sajber kriminalci zloupotrebljavaju Adobe za krađu lozinki korisnika LinkedIn-a

Sajber kriminalci zloupotrebljavaju Adobe za krađu lozinki korisnika LinkedIn-a

Sajber kriminalci zloupotrebljavaju Adobe infrastrukturu kao deo nove LinkedIn fišing kampanje čiji je cilj krađa korisničkih imena i lozinki, upo... Dalje

TikTok „poslovi“ i laka zarada: kako da prepoznate prevaru

TikTok „poslovi“ i laka zarada: kako da prepoznate prevaru

Društvene mreže poput TikTok-a postale su mesto gde se sve češće pojavljuju ponude za posao. Međutim, stručnjaci upozoravaju da su ovakve ponud... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.