Kako je bilo moguće hakovati Facebook nalog SMS-om

Društvene mreže, 28.06.2013, 08:31 AM

Kako je bilo moguće hakovati Facebook nalog SMS-om

Otkriće veoma ozbiljnog propusta na Facebook-u zahvaljujući kome je bilo moguće preuzimanje naloga bilo kog korisnika društvene mreže uz minimalni napor, donelo je britanskom istraživaču Džek Vitenu 20000 dolara.

Kompanija je ispravila propust pre mesec dana, a Viten je informaciju o tome objavio na svom blogu tek pre dva dana.

Viten je otkrio da je bilo moguće poništiti lozinku bilo kog naloga zahvaljujući grešci u načinu na koji Facebook omogućava korisnicima povezivanje mobilnog telefona sa nalogom zbog, na primer, dobijanja ažuriranja putem SMS-a.

Facebook šalje verifikacioni kod SMS-om na broj telefona koji je korisnik prijavio. Međutim, britanski stručnjak je otkrio da je moguće izmeniti polje “profile_id” u okviru formulara za potvrdu sa “profile_id” koji pripada drugom korisniku.

Facebook tada traži lozinku ali ne onu koju je izabrala potencijalna žrtva jer je sada nalog žrtve povezan sa napadačem.

Tada napadač može da poništi lozinku žrtvinog naloga. Kod koji je potreban za resetovanje lozinke se šalje na broj telefona napadača, zajedno sa linkom za stranicu za resetovanje lozinke.

“Unesemo taj kod u formular, odaberemo novu lozinku i gotovo. Nalog je naš”, kaže Viten.

Ovakav propust bi bio veoma vredan sajber kriminalcima za slanje spama sa preotetih Facebook naloga ili za krađu podataka korisnika.

Viten kaže da nagrada od 20000 dolara pokazuje o koliko ozbiljnom propustu je ovde reč. On je Facebook-u prijavio propust 23. maja, a kompanija je reagovala brzo pa je propust ispravljen već 28. maja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook oglasi za aplikaciju Clubhouse inficiraju računare ransomwareom

Facebook oglasi za aplikaciju Clubhouse inficiraju računare ransomwareom

Sajber kriminalci često koriste popularnost nekih aplikacija da bi prevarili korisnike i inficirali što više uređaja. Aplikacija Clubhouse trenutn... Dalje

Podaci 500 miliona korisnika LinkedIna prodaju se na jednom hakerskom forumu

Podaci 500 miliona korisnika LinkedIna prodaju se na jednom hakerskom forumu

Nekoliko dana nakon što se masovno curenje podataka korisnika Facebooka našlo u svim vestima, stiže nova vest o još jednom curenju podataka, ovog ... Dalje

Facebook ne planira da obavesti 533 miliona svojih korisnika o curenju njihovih podataka

Facebook ne planira da obavesti 533 miliona svojih korisnika o curenju njihovih podataka

Facebook nije obavestio više od 533 miliona svojih korisnika da su njihovi podaci procurili zbog greške u funkciji koja omogućava uvoz kontakata i ... Dalje

Kako da proverite da li su hakeri ukrali vaš broj telefona sa Facebooka

Kako da proverite da li su hakeri ukrali vaš broj telefona sa Facebooka

Na sajtu „Have I Been Pwned” korisnici Facebooka sada mogu proveriti da li je njihov telefonski broj u bazi podataka koji su ukradeni 2019... Dalje

Iza lažnih ponuda za posao na LinkedInu krije se opasni malver

Iza lažnih ponuda za posao na LinkedInu krije se opasni malver

Microsoftova poslovna društvena mreža LinkedIn ima više od 740 miliona korisnika iz 200 zemalja. To je čini privlačnom metom za sajber kriminalce... Dalje