Trazi

Facebook ispravio propust koji je omogućavao resetovanje lozinki naloga korisnika

Društvene mreže, 08.03.2016, 01:00 AM

Facebook ispravio propust koji je omogućavao resetovanje lozinki naloga korisnika

Facebook je isplatio 15000 dolara istraživaču koji je otkrio propust koji je bilo moguće iskoristiti za hakovanje naloga na društvenoj mreži bez ikakve interakcije korisnika. On je ustvari otkrio jednostavan način za resetovanje lozinki naloga korisnika društvene mreže, promenu lozinke i preuzimanje profila.

Anand Prakaš iz Indije opisao je ovaj propust na svom blogu kao običan brute-force napad na formu za oporavak lozinke. To je moguće izvesti ali ne na glavnom Facebookovom sajtu koji je zaštićen od ovakvih automatizovanih napada.

Kada korisnik zaboravi lozinku za svoj Facebook nalog, on u formu mora da unese svoju email adresu ili broj telefona, povezan sa Facebook nalogom, da bi mu bio poslat šestocifreni kod putem SMS poruke. Taj kod se zatim unosi u formu za resetovanje lozinke da bi bio omogućen pristup stranici na kojoj se može promeniti lozinka.

Kada bi neko pokušao da pogodi šestocifreni kod na Facebookovom sajtu (facebook.com), bio bi blokiran posle 10 do 12 neuspešnih pokušaja.

Prakaš je otkrio da ova zaštita od brute-force napada ne radi na Facebookovoj beta platformi (beta.facebook.com) na kojoj se testira većina Facebookovih funkcija pre nego što one budu dostupne na glavnoj platformi.

Uz pomoć jednostavnog brute-force alata, Prakaš je isprobao sve moguće kombinacije dok nije pogodio ispravan šestocifreni kod. Facebook beta platforma ne blokira korisnike koji ne unesu ispravan kod posle 10-12 pokušaja. Prakaš je uspeo da resetuje lozinku svog naloga a to bi mogao da uradi i sa nalogom nekog drugog korisnika. Jedini uslov je da napadač zna broj telefona ili email adresu povezanu sa nalogom koji je cilj napada.

Prakaš je ovaj propust Facebooku prijavio 22. februara, a kompanija ga je već sutradan ispravila. Međutim, ostalo je pitanje zašto beta i glavna platforma nemaju istu zaštitu i ispravke bagova, i koliko još bezbednosnih propusta postoji na beta platformi koji su ispravljeni na glavnoj platformi.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Mandiant Threat Defens upozorava korisnike na prevaru iza koje stoji grupa UNC6032 koja na društvenim mrežama postavlja oglase za lažne AI video al... Dalje

TikTok video snimci šire malvere Vidar i StealC

TikTok video snimci šire malvere Vidar i StealC

Sajber kriminalci koriste TikTok video snimke za širenje malvera za krađu informacija Vidar i StealC u ClickFix napadima, upozorava Trend Micro. Re... Dalje

Hakeri prodaju podatke 1,2 milijarde korisnika Facebook-a

Hakeri prodaju podatke 1,2 milijarde korisnika Facebook-a

Ogromna baza podataka o 1,2 milijarde korisničkih naloga ukradena je sa Facebook-a zloupotrebom jednog od Facebook API-ja. Ukradene podatke je na jed... Dalje

Nova prevara na Facebook-u: oglasi, kriptovalute i lažna obećanja o brzoj dobiti

Nova prevara na Facebook-u: oglasi, kriptovalute i lažna obećanja o brzoj dobiti

Ako ste muškarac stariji od 18 godina, ljubitelj kriptovaluta i živite u Istočnoj Evropi, postoji velika šansa da će Facebook-ov algoritam pokuš... Dalje

TikTok kažnjen sa 530 miliona evra zbog prenosa podataka evropskih korisnika u Kinu

TikTok kažnjen sa 530 miliona evra zbog prenosa podataka evropskih korisnika u Kinu

Irska Komisija za zaštitu podataka (DPC) objavila je da je kaznila evropsku filijalu TikToka sa 530 miliona evra nakon istrage o transferu podataka k... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.