Anand Prakash: πως να ξεκλειδώσετε κάθε λογαριασμό του Facebook

Το πλήρωσε 15.000 δολάρια έναν ανεξάρτητο ερευνητή ς ο οποίος ανακάλυψε ένα απλό τρόπο για την επαναφορά κωδικών πρόσβασης σε λογαριασμούς άλλων, ορίζοντας ένα νέο πρόσβασης που γνώριζε μόνο αυτός. Με αυτό τον τρόπο μπορούσε να κλειδώσει όποιο επιθυμούσε.facebook

Το άτομο που ανακάλυψε το κενό ασφαλείας και βοήθησε το Facebook να το διορθώσει πριν κακοποιηθεί είναι ο Prakash, ένας ερευνητής ασφάλειας από την Ινδία.

Όπως περιγράφει στο blog του, το ζήτημα είναι στην πραγματικότητα μια ασήμαντη επίθεση brute-force στη φόρμα ανάκτησης κωδικών πρόσβασης, και όχι στην κεντρική ιστοσελίδα του Facebook, η οποία προστατεύεται από αυτού του τύπου αυτοματοποιημένες επιθέσεις.

Η φόρμα ανάκτησης κωδικών μπορεί να χρησιμοποιηθεί κάθε φορά που ένας χρήστης ξεχνάει τον κωδικό πρόσβασής του στο Faceboοk. Θα πρέπει να συμπληρώσει μια φόρμα με τη διεύθυνση του ηλεκτρονικού του ταχυδρομείου ή τον αριθμό τηλεφώνου, που σχετίζεται με το λογαριασμό του στο Faceboοk.

Μετά την είσοδο αυτών των δύο στοιχείων, ο χρήστης θα παραλάβει ένα εξαψήφιο κωδικό μέσω SMS, που θα εισάγει στη φόρμα επαναφοράς κωδικού πρόσβασης για να του επιτραπεί η πρόσβαση σε μια σελίδα όπου μπορεί να αλλάξει τον κωδικό πρόσβασης του λογαριασμού του.

Αν κάποιος προσπαθήσει ποτέ να μαντέψει αυτόν το εξαψήφιο κωδικό από τη κεντρική ιστοσελίδα του Facebοok (facebook.com), θα αποκλειστεί μετά από 10 ή 12 άκυρες προσπάθειες.

Ο κ Prakash ανακάλυψε ότι αυτό το όριο προστασίας από brute-force δεν ήταν ενεργό σε beta πλατφόρμα του Facebοok, που είναι προσβάσιμη από τη διεύθυνση beta.facebook.com.

Είναι η πλατφόρμα που χρησιμοποιεί το Faceboοk για να δοκιμάσει τα νέα χαρακτηριστικά πριν τα διαθέσει στο ευρύ κοινό μέσα από την κύρια πλατφόρμα.

Έτσι χρησιμοποιώντας ένα απλό εργαλείο brute-force, ο κ Prakash ήταν σε θέση να ανακαλύψει τον εξαψήφιο κωδικό που χρειαζόταν για να έχει πρόσβαση σε κάθε λογαριασμό.

Μέσω ενός απλού script, ο ερευνητής δοκίμαζε όλους τους δυνατούς συνδυασμούς μέχρι να μαντέψει το σωστό εξαψήφιο κωδικό. Όλα τα υπόλοιπα ήταν εύκολα.

Ο ερευνητής ανακάλυψε το θέμα στις 22 Φεβρουαρίου, το ανέφερε στο Facebοok, και η εταιρεία το επιδιόρθωσε την επόμενη ημέρα.

Παρακάτω είναι το βίντεο PoC που δημοσιεύτηκε από τον ερευνητή.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).