Kako je bilo moguće hakovati Facebook nalog SMS-om

Društvene mreže, 28.06.2013, 08:31 AM

Kako je bilo moguće hakovati Facebook nalog SMS-om

Otkriće veoma ozbiljnog propusta na Facebook-u zahvaljujući kome je bilo moguće preuzimanje naloga bilo kog korisnika društvene mreže uz minimalni napor, donelo je britanskom istraživaču Džek Vitenu 20000 dolara.

Kompanija je ispravila propust pre mesec dana, a Viten je informaciju o tome objavio na svom blogu tek pre dva dana.

Viten je otkrio da je bilo moguće poništiti lozinku bilo kog naloga zahvaljujući grešci u načinu na koji Facebook omogućava korisnicima povezivanje mobilnog telefona sa nalogom zbog, na primer, dobijanja ažuriranja putem SMS-a.

Facebook šalje verifikacioni kod SMS-om na broj telefona koji je korisnik prijavio. Međutim, britanski stručnjak je otkrio da je moguće izmeniti polje “profile_id” u okviru formulara za potvrdu sa “profile_id” koji pripada drugom korisniku.

Facebook tada traži lozinku ali ne onu koju je izabrala potencijalna žrtva jer je sada nalog žrtve povezan sa napadačem.

Tada napadač može da poništi lozinku žrtvinog naloga. Kod koji je potreban za resetovanje lozinke se šalje na broj telefona napadača, zajedno sa linkom za stranicu za resetovanje lozinke.

“Unesemo taj kod u formular, odaberemo novu lozinku i gotovo. Nalog je naš”, kaže Viten.

Ovakav propust bi bio veoma vredan sajber kriminalcima za slanje spama sa preotetih Facebook naloga ili za krađu podataka korisnika.

Viten kaže da nagrada od 20000 dolara pokazuje o koliko ozbiljnom propustu je ovde reč. On je Facebook-u prijavio propust 23. maja, a kompanija je reagovala brzo pa je propust ispravljen već 28. maja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook ide na sud zbog tehnologije prepoznavanja lica, kompaniji preti kazna od 35 milijardi dolara

Facebook ide na sud zbog tehnologije prepoznavanja lica, kompaniji preti kazna od 35 milijardi dolara

Facebook je izgubio još jednu bitku u ratu koji vodi ne bi li zaustavio kolektivnu tužbu u slučaju vrednom 35 milijardi dolara koji je pokrenut zbo... Dalje

Instagram želi da vam pomogne da odlučite koga ćete otpratiti

Instagram želi da vam pomogne da odlučite koga ćete otpratiti

Ako ste od onih koji na Instagramu prate stotine a možda i hiljade profila, velike su šanse da ne znate koga sve pratite jer većinu profila uopšte... Dalje

Facebook ne planira da odustane od šifrovanja poruka zbog zaštite dece od pedofila

Facebook ne planira da odustane od šifrovanja poruka zbog zaštite dece od pedofila

Direktor kompanije Facebook Mark Zakerberg najavio je ranije ove godine da kompanija planira šifrovanje poruka na svojim platformama. Od tada, vlasti... Dalje

Facebook najavio da će nagrađivati one koji otkriju bagove u aplikacijama drugih proizvođača

Facebook najavio da će nagrađivati one koji otkriju bagove u aplikacijama drugih proizvođača

Nakon niza sigurnosnih propusta i zloupotrebe podataka korisnika, Facebook je najavio da proširuje svoj program nagrada kako bi poboljšao sigurnost ... Dalje

Korisnici Facebooka se žale da su im nalozi blokirani nakon što su Facebooku prijavili lažne naloge

Korisnici Facebooka se žale da su im nalozi blokirani nakon što su Facebooku prijavili lažne naloge

Zamislite da dobijete Facebook poruku od pokojnog rođaka ili prijatelja? Šta biste uradili? Verovatno biste lažni nalog prijavili Facebooku? To je ... Dalje