Egy brit biztonsági kutató, aki a “fin1te” névre hallgat, 20 ezer dollárt keresett, miután felfedezte, hogyan lehet feltörni bármely Facebook-fiókot, csupán egy mobiltelefonos SMS elküldésével.

Ez – nyilvánvalóan – lehetetlen lett volna, de a Facebook millió és millió kódsorból álló kusza fészkében lévő gyenge pont miatt potenciálisan több százmillió fiók volt sebezhető az egyszerű technikával történő eltérítéssel.

Fin1te (valódi nevén Jack Whitten) a blogján dokumentálta, hogyan működik a hackelés.

Az első teendő az “F” betű elküldése SMS-ben a Facebooknak, mintha törvényesen regisztrálnánk a mobiltelefonunkat a közösségi hálózatnál. Az Egyesült Királyságban a Facebook SMS rövidkódja a 32665.

A Facebook SMS-ben egy nyolc karakteres megerősítő kóddal válaszol.

Az események normális menete az lenne, hogy beírjuk ezt a megerősítő kódot egy Facebook űrlapra, és megyünk a dolgunkra…

De fin1te felfedezte, hogy az űrlapon létezik egy sebezhetőség, amelyet kihasználva a Facebook által SMS-ben küldött megerősítő kódot *más* fiókjával lehet használni.

A fin1te azt fedezte fel, hogy a mobil aktiválási űrlap egyik eleme paraméterként tartalmazta a felhasználó profilazonosítóját. Ez az az egyedi szám, amely a kiszemelt célpont fiókjához tartozik.

Változtassa meg az űrlap által a Facebooknak küldött profilazonosítót, és a közösségi hálózat megtévesztheti, hogy Ön valaki más, aki összekapcsolja a mobiltelefont a fiókjával.

Ezért az első lépés, amely ahhoz szükséges, hogy ilyen módon eltérítse valaki fiókját, az áldozat egyedi Facebook-profilazonosítóját igényli.

Ha nem tudod, mi valakinek a numerikus profilazonosítója, bármikor utánanézhetsz szabadon elérhető eszközökkel – nem kellene, hogy titok legyen.

Sikerült fin1te-nek a böngészője által a Facebooknak küldött profilazonosító paramétert a hozzáférni kívánt fiók egyedi számával helyettesítenie…

.. és másodperceken belül a mobiltelefonjára küldött egy SMS-t, amely megerősítette, hogy sikeresen csatlakoztatta az eszközt a fiókhoz.

Siker. A Facebook-fiókhoz most már egy harmadik fél mobiltelefonszáma is kapcsolódik. Mindenféle malware vagy adathalászat nélkül. Mindössze egy SMS szöveges üzenetet kellett küldeni.

A fiók eltérítésének utolsó szakasza egyszerű. A Facebook lehetővé teszi, hogy ha akarsz, e-mail cím helyett a mobilszámoddal jelentkezz be a rendszerébe, így a bejelentkezéskor megadod az áldozat fiókjához társított mobiltelefonszámot, és SMS-ben jelszó-visszaállítást kérsz.

A fin1te persze felfedezte, hogy a Facebook szabályosan elküldte neki a fiók jelszó-visszaállítási kódját – vagyis meg tudta változtatni a fiók jelszavát, és kizárta annak jogos felhasználóját.

Ez egy hihetetlenül egyszerű, de hatékony módja annak, hogy bárki Facebook-fiókját átvegye.

A jó hír az, hogy fin1te felelősségteljesen nyilvánosságra hozta a biztonsági rést a Facebook felé, és nem rosszindulatú szándékkal használta ki, vagy adta el más félnek. A Facebook kijavította a problémát, így mások már nem tudják kihasználni ezt a súlyos biztonsági rést. A Facebook a fáradozásaiért fin1te-nek busás, 20 000 dolláros hibajutalmat ítélt meg, és kijavította a sebezhetőséget.

De kétségtelen, hogy az illegális piacon, esetleg kiberbűnözőknek vagy hírszerző ügynökségeknek eladva fin1te felfedezésével még több pénzt kereshetett volna.

Ki tudja, milyen más súlyos biztonsági rés rejlik még a Facebookban, amelyet nem jelentettek felelősségteljesen a vállalat biztonsági csapatának?

Ha a Facebook elhagyásán gondolkodik, miért nem hallgatja meg ezt a “Smashing Security” podcastot, amelyet felvettünk:

A cikket érdekesnek találta? Kövesse Graham Cluley-t a Twitteren, hogy további exkluzív tartalmakat olvashasson.