Bezpečnostní výzkumník z Velké Británie vystupující pod jménem „fin1te“ si vydělal 20 000 dolarů poté, co odhalil způsob, jak se nabourat do jakéhokoli účtu na Facebooku pouhým zasláním textové zprávy na mobilní telefon.

To mělo být – samozřejmě – nemožné, ale kvůli slabině ve spletitém hnízdě milionů a milionů řádků kódu Facebooku byly potenciálně stovky milionů účtů zranitelné vůči napadení pomocí jednoduché techniky.

Fin1te (vlastním jménem Jack Whitten) na svém blogu zdokumentoval, jak hackerský útok funguje.

Nejdříve je třeba poslat Facebooku v SMS zprávě písmeno „F“, jako byste si v sociální síti legitimně registrovali svůj mobilní telefon. Ve Velké Británii je zkrácený kód SMS pro Facebook 32665.

Facebook odpoví prostřednictvím SMS osmimístným potvrzovacím kódem.

Obvyklý sled událostí by byl zadat tento potvrzovací kód do formuláře Facebooku a jít si vesele dál…

Ale fin1te zjistil, že v tomto formuláři existuje zranitelnost, kterou lze zneužít k použití potvrzovacího kódu, který mu Facebook poslal prostřednictvím SMS, s účtem *kohokoli* jiného.

Fin1te odhalil, že jeden z prvků mobilního aktivačního formuláře obsahoval jako parametr ID profilu uživatele. To je jedinečné číslo spojené s účtem vašeho zamýšleného cíle.

Změníte-li ID profilu, které je tímto formulářem odesláno na Facebook, může být sociální síť oklamána, že jste někdo jiný, kdo propojuje mobilní telefon se svým účtem.

Proto první krok potřebný k tomu, abyste tímto způsobem unesli něčí účet, vyžaduje jedinečné ID profilu vaší oběti na Facebooku.

Pokud nevíte, jaké je něčí číselné ID profilu, můžete si je vždy vyhledat pomocí volně dostupných nástrojů – nemají být tajemstvím.

Jisté je, že fin1te dokázal nahradit parametr ID profilu odeslaný prohlížečem na Facebook jedinečným číslem účtu, ke kterému chtěl získat přístup…

.. a během několika vteřin mu na jeho mobilní telefon přišla SMS potvrzující, že zařízení úspěšně připojil k účtu.

Úspěch. K účtu Facebook je nyní přiřazeno mobilní telefonní číslo třetí osoby. Bez nutnosti použití malwaru nebo phishingu. Stačilo poslat SMS zprávu.

Závěrečná fáze únosu účtu je jednoduchá. Facebook umožňuje v případě potřeby přihlásit se do svého systému pomocí mobilního čísla místo e-mailové adresy, takže při přihlášení zadáte číslo mobilního telefonu, které máte spojené s účtem oběti, a prostřednictvím SMS zprávy požádáte o reset hesla.

Fin1te zjistil, že mu Facebook řádně zaslal kód pro reset hesla k účtu – to znamená, že mohl změnit heslo účtu a zablokovat jeho legitimního uživatele.

Jedná se o neuvěřitelně jednoduchý, ale účinný způsob, jak ovládnout účet kohokoli na Facebooku.

Dobrou zprávou je, že fin1te tuto zranitelnost zodpovědně prozradil společnosti Facebook, místo aby ji zneužil ke zlým úmyslům nebo prodal dalším stranám. Facebook problém opravil, takže ostatní již nemohou tuto závažnou bezpečnostní díru zneužít. Společnost Facebook za jeho potíže udělila fin1teovi odměnu za chybu v hodnotě 20 000 dolarů a zranitelnost opravila.

Není však pochyb o tom, že na nelegálním trhu, možná prodávaném kyberzločincům nebo zpravodajským agenturám, mohl fin1teův objev vydělat ještě více peněz.

Kdo ví, jaké další závažné bezpečnostní chyby mohou ležet uvnitř Facebooku, které nebyly zodpovědně nahlášeny bezpečnostnímu týmu společnosti?

Pokud uvažujete o odchodu z Facebooku, poslechněte si podcast „Smashing Security“, který jsme natočili:

Zajímal vás tento článek? Sledujte Grahama Cluleyho na Twitteru a přečtěte si další exkluzivní obsah, který zveřejňujeme.