Britanniassa asuva tietoturvatutkija, joka käyttää nimeä ”fin1te”, on ansainnut itselleen 20000 dollaria löydettyään tavan hakkeroitua mihin tahansa Facebookin tiliin lähettämällä kännykän tekstiviesti.

Tämän olisi – ilmeisesti – pitänyt olla mahdotonta, mutta Facebookin miljoonien ja taas miljoonien koodirivien sotkuisen pesän heikkouden vuoksi mahdollisesti sadat miljoonat tilit olivat alttiita kaappaukselle yksinkertaisella tekniikalla.

Fin1te (oikealta nimeltään Jack Whitten) on dokumentoinut blogissaan, miten hakkerointi toimii.

Aluksi on lähetettävä F-kirjain tekstiviestinä Facebookiin, ikään kuin rekisteröisi matkapuhelimensa laillisesti sosiaaliseen verkostoon. Isossa-Britanniassa Facebookin tekstiviestikoodi on 32665.

Facebook vastaa tekstiviestillä kahdeksanmerkkisellä vahvistuskoodilla.

Normaali toimintatapa olisi syöttää tämä vahvistuskoodi Facebookin lomakkeeseen ja jatkaa matkaa…

Mutta fin1te huomasi, että kyseisessä lomakkeessa oli haavoittuvuus, jota voitiin käyttää hyväksi ja käyttää Facebookin tekstiviestillä lähettämää vahvistuskoodia *kenen tahansa* tilin kanssa.

Fin1te oli paljastanut, että yksi mobiiliaktivointilomakkeen elementeistä sisälsi parametrina käyttäjän profiilitunnuksen. Se on yksilöllinen numero, joka liittyy aiotun kohteen tiliin.

Muuttamalla lomakkeella Facebookiin lähetettävää profiilin ID:tä, sosiaalinen verkosto saattaisi uskotella, että olet joku muu, joka liittää matkapuhelimen tiliinsä.

Ensimmäisenä askeleena jonkun tilin kaappaamiseen tällä tavoin tarvitaan siis uhrin yksilöllinen Facebookin profiilitunnus.

Jos et tiedä, mikä on jonkun henkilön numeerinen profiilitunnus, voit aina katsoa sen vapaasti saatavilla olevien työkalujen avulla – niiden ei ole tarkoitus olla salaisuus.

Varmasti fin1te pystyi korvaamaan selaimensa Facebookille lähettämän profiilin ID-parametrin sen tilin yksilöllisellä numerolla, johon hän halusi päästä käsiksi…

.. ja sekunneissa hänen matkapuhelimeensa lähetettiin tekstiviesti, jossa vahvistettiin, että hän oli onnistuneesti yhdistänyt laitteen tiliin.

Success. Facebook-tiliin on nyt liitetty kolmannen osapuolen matkapuhelinnumero. Ilman haittaohjelmia tai phishingiä. Tarvittiin vain lähettää tekstiviesti.

Tilin kaappauksen viimeinen vaihe on suoraviivainen. Facebook sallii halutessaan kirjautumisen järjestelmäänsä käyttämällä matkapuhelinnumeroa sähköpostiosoitteen sijaan, joten kirjautumisen yhteydessä syötetään uhrin tiliin yhdistetty matkapuhelinnumero ja pyydetään salasanan nollausta tekstiviestillä.

Varmasti fin1te huomasi, että Facebook lähetti hänelle asianmukaisesti tilin salasanan nollauskoodin – mikä tarkoitti, että hän pystyi muuttamaan tilin salasanaa ja lukitsemaan pois tililtä sen laillisen käyttäjän.

Tämä on uskomattoman yksinkertainen mutta tehokas tapa ottaa haltuun kenen tahansa Facebook-tili.

Hyvä uutinen on se, että fin1te paljasti haavoittuvuuden vastuullisesti Facebookille sen sijaan, että olisi käyttänyt sitä hyväkseen pahansuopiin tarkoituksiin tai myynyt sitä muille osapuolille. Facebook on korjannut ongelman, joten muut eivät voi enää hyödyntää tätä vakavaa tietoturva-aukkoa. Vaivannäöstään Facebook myönsi fin1te:lle muhkean 20 000 dollarin bugipalkkion ja korjasi haavoittuvuuden.

Mutta ei ole epäilystäkään siitä, että laittomilla markkinoilla, kenties kyberrikollisille tai tiedustelupalveluille myytynä, fin1te:n löytö olisi voinut tuoda hänelle vielä enemmän rahaa.

Kuka tietää, millaisia muita vakavia tietoturva-aukkoja Facebookin sisältä voi löytyä, joita ei ole vastuuntuntoisesti kerrottu yhtiön tietoturvaryhmälle?

Jos harkitset Facebookista lähtemistä, mikset kuuntelisi tätä nauhoittamaamme ”Smashing Security” -podcastia:

Löysitkö tämän artikkelin kiinnostavaksi? Seuraa Graham Cluleya Twitterissä ja lue lisää julkaisemaamme eksklusiivista sisältöä.