Το Facebook πλήρωσε 15.000 δολάρια έναν ανεξάρτητο ερευνητή ασφάλειας ο οποίος ανακάλυψε ένα απλό τρόπο για την επαναφορά κωδικών πρόσβασης σε λογαριασμούς άλλων, ορίζοντας ένα νέο κωδικό πρόσβασης που γνώριζε μόνο αυτός. Με αυτό τον τρόπο μπορούσε να κλειδώσει όποιο λογαριασμό επιθυμούσε.
Το άτομο που ανακάλυψε το κενό ασφαλείας και βοήθησε το Facebook να το διορθώσει πριν κακοποιηθεί είναι ο Anand Prakash, ένας ερευνητής ασφάλειας από την Ινδία.
Όπως περιγράφει στο blog του, το ζήτημα είναι στην πραγματικότητα μια ασήμαντη επίθεση brute-force στη φόρμα ανάκτησης κωδικών πρόσβασης, και όχι στην κεντρική ιστοσελίδα του Facebook, η οποία προστατεύεται από αυτού του τύπου αυτοματοποιημένες επιθέσεις.
Η φόρμα ανάκτησης κωδικών μπορεί να χρησιμοποιηθεί κάθε φορά που ένας χρήστης ξεχνάει τον κωδικό πρόσβασής του στο Faceboοk. Θα πρέπει να συμπληρώσει μια φόρμα με τη διεύθυνση του ηλεκτρονικού του ταχυδρομείου ή τον αριθμό τηλεφώνου, που σχετίζεται με το λογαριασμό του στο Faceboοk.
Μετά την είσοδο αυτών των δύο στοιχείων, ο χρήστης θα παραλάβει ένα εξαψήφιο κωδικό μέσω SMS, που θα εισάγει στη φόρμα επαναφοράς κωδικού πρόσβασης για να του επιτραπεί η πρόσβαση σε μια σελίδα όπου μπορεί να αλλάξει τον κωδικό πρόσβασης του λογαριασμού του.
Αν κάποιος προσπαθήσει ποτέ να μαντέψει αυτόν το εξαψήφιο κωδικό από τη κεντρική ιστοσελίδα του Facebοok (facebook.com), θα αποκλειστεί μετά από 10 ή 12 άκυρες προσπάθειες.
Ο κ Prakash ανακάλυψε ότι αυτό το όριο προστασίας από brute-force δεν ήταν ενεργό σε beta πλατφόρμα του Facebοok, που είναι προσβάσιμη από τη διεύθυνση beta.facebook.com.
Είναι η πλατφόρμα που χρησιμοποιεί το Faceboοk για να δοκιμάσει τα νέα χαρακτηριστικά πριν τα διαθέσει στο ευρύ κοινό μέσα από την κύρια πλατφόρμα.
Έτσι χρησιμοποιώντας ένα απλό εργαλείο brute-force, ο κ Prakash ήταν σε θέση να ανακαλύψει τον εξαψήφιο κωδικό που χρειαζόταν για να έχει πρόσβαση σε κάθε λογαριασμό.
Μέσω ενός απλού script, ο ερευνητής δοκίμαζε όλους τους δυνατούς συνδυασμούς μέχρι να μαντέψει το σωστό εξαψήφιο κωδικό. Όλα τα υπόλοιπα ήταν εύκολα.
Ο ερευνητής ανακάλυψε το θέμα στις 22 Φεβρουαρίου, το ανέφερε στο Facebοok, και η εταιρεία το επιδιόρθωσε την επόμενη ημέρα.
Παρακάτω είναι το βίντεο PoC που δημοσιεύτηκε από τον ερευνητή.