Brytyjski badacz bezpieczeństwa o nazwie „fin1te” zarobił sobie $20,000 po odkryciu sposobu, aby włamać się do dowolnego konta na Facebooku, po prostu wysyłając wiadomość tekstową z telefonu komórkowego.
To powinno – oczywiście – było niemożliwe, ale ze względu na słabość w Facebook’s splątane gniazdo miliony i miliony linii kodu, potencjalnie setki milionów kont były podatne na porwanie przez prostą technikę.
Fin1te (prawdziwe nazwisko Jack Whitten) udokumentował jak hack działa na jego blog.
Pierwszą rzeczą do zrobienia jest wysłanie litery „F” w wiadomości SMS do Facebooka, tak jakbyś był legalnie rejestrując swój telefon komórkowy z sieci społecznej. W Wielkiej Brytanii kod skrótu SMS dla Facebooka to 32665.
Facebook odpowiada, poprzez SMS, z ośmioznakowym kodem potwierdzenia.
Normalna sekwencja zdarzeń polegałaby na wprowadzeniu tego kodu do formularza Facebooka i udaniu się w swoją stronę…
Ale Fin1te odkrył, że w formularzu istniała luka, która mogła zostać wykorzystana do użycia kodu potwierdzającego, który został wysłany przez Facebooka przez SMS, z kontem *kogokolwiek* innego.
Zmień identyfikator profilu, który jest wysyłany przez ten formularz do Facebooka, a sieć społecznościowa może zostać wprowadzona w błąd, myśląc, że jesteś kimś innym, kto łączy telefon komórkowy ze swoim kontem.
W związku z tym, pierwszy krok potrzebny do porwania czyjegoś konta w ten sposób wymaga unikalnego identyfikatora profilu ofiary na Facebooku.
Jeśli nie wiesz, jaki jest numeryczny identyfikator profilu danej osoby, zawsze możesz go sprawdzić za pomocą ogólnodostępnych narzędzi – nie powinny one być tajemnicą.
Wystarczyło, że fin1te był w stanie zastąpić parametr ID profilu wysyłany przez przeglądarkę do Facebooka unikalnym numerem konta, do którego chciał uzyskać dostęp…
.. i w ciągu kilku sekund na jego telefon komórkowy został wysłany SMS potwierdzający, że udało mu się połączyć urządzenie z kontem.
Sukces. Konto na Facebooku ma teraz powiązany z nim numer telefonu komórkowego osoby trzeciej. Bez konieczności stosowania złośliwego oprogramowania czy phishingu. Wystarczyło wysłać wiadomość tekstową SMS.
Ostatni etap porwania konta jest prosty. Facebook pozwala logować się do swojego systemu przy użyciu numeru telefonu komórkowego, a nie adresu e-mail, jeśli chcesz, więc przy logowaniu wprowadzasz numer telefonu komórkowego, który skojarzyłeś z kontem swojej ofiary, i żądasz zresetowania hasła przez SMS.
Jasne, fin1te odkrył, że Facebook należycie wysłał mu kod resetowania hasła do konta – co oznacza, że mógł zmienić hasło do konta i zablokować jego prawowitego użytkownika.
To jest niezwykle prosty, ale potężny sposób na przejęcie czyjegoś konta Facebook.
Dobrą wiadomością jest to, że fin1te ujawnił lukę odpowiedzialnie do Facebooka, a nie wykorzystał go do złych intencji lub sprzedał go do innych stron. Facebook naprawił problem, więc inni nie mogą już korzystać z tej poważnej dziury w zabezpieczeniach. Za swoje kłopoty, Facebook przyznał Fin1te’owi nagrodę w wysokości 20,000 dolarów i naprawił lukę.
Ale nie ma wątpliwości, że na podziemnym rynku, być może sprzedawane cyberprzestępcom lub agencjom wywiadowczym, odkrycie Fin1te’a mogło zarobić jeszcze więcej pieniędzy.
Kto wie, jakie inne poważne luki w zabezpieczeniach mogą leżeć wewnątrz Facebooka, które nie zostały odpowiedzialnie zgłoszone do zespołu bezpieczeństwa firmy?
Jeśli myślisz o opuszczeniu Facebooka, dlaczego nie posłuchać tego podcastu „Smashing Security”, który nagraliśmy:
Smashing Security #75: 'Quitting Facebook’
Twoja przeglądarka nie obsługuje tego elementu audio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/3e3e8a52-4c1e-45c7-8271-8c13eb312039.mp3
Listen on Apple Podcasts | Google Podcasts | Pocket Casts | Spotify | Other… | RSS
Więcej odcinków…
Czy ten artykuł był interesujący? Śledź Grahama Cluleya na Twitterze, aby przeczytać więcej ekskluzywnych treści, które publikujemy.
Graham Cluley jest weteranem branży antywirusowej, pracującym dla wielu firm zajmujących się bezpieczeństwem od wczesnych lat 90-tych, kiedy to napisał pierwszą wersję pakietu Dr Solomon’s Anti-Virus Toolkit dla systemu Windows. Obecnie jest niezależnym analitykiem bezpieczeństwa, regularnie pojawia się w mediach i jest międzynarodowym mówcą publicznym na temat bezpieczeństwa komputerowego, hakerów i prywatności w sieci.Śledź go na Twitterze pod adresem @gcluley lub wyślij mu wiadomość e-mail.