Un cercetător în domeniul securității cu sediul în Marea Britanie, cunoscut sub numele de „fin1te”, a câștigat 20.000 de dolari după ce a descoperit o modalitate de a sparge orice cont de Facebook, doar trimițând un SMS pe telefonul mobil.

Acest lucru ar fi trebuit – evident – să fie imposibil, dar din cauza unei slăbiciuni în cuibul încâlcit de milioane și milioane de linii de cod al Facebook, potențial sute de milioane de conturi au fost vulnerabile la deturnare prin această tehnică simplă.

Fin1te (pe numele real Jack Whitten) a documentat pe blogul său modul în care funcționează hackingul.

Primul lucru care trebuie făcut este să trimiteți litera „F” într-un mesaj SMS către Facebook, ca și cum v-ați înregistra în mod legitim telefonul mobil la rețeaua socială. În Marea Britanie, codul scurt al SMS-ului pentru Facebook este 32665.

Facebook răspunde, prin SMS, cu un cod de confirmare de opt caractere.

Secvența normală a evenimentelor ar fi fost să introduceți acel cod de confirmare într-un formular Facebook și să vă continuați drumul…

Dar fin1te a descoperit că exista o vulnerabilitate în acel formular, care putea fi exploatată pentru a folosi codul de confirmare pe care îl primise de la Facebook prin SMS cu contul *cuiva*.

Ce descoperise fin1te era că unul dintre elementele formularului de activare mobilă conținea, ca parametru, ID-ul de profil al utilizatorului. Acesta este numărul unic asociat cu contul țintei vizate.

Schimbați ID-ul de profil care este trimis de acel formular către Facebook, iar rețeaua socială ar putea fi păcălită să creadă că sunteți altcineva care leagă un telefon mobil de contul său.

Prin urmare, primul pas necesar pentru a deturna contul cuiva în acest mod necesită ID-ul unic de profil Facebook al victimei dumneavoastră.

Dacă nu știți care este ID-ul de profil numeric al cuiva, puteți oricând să îl căutați folosind instrumente disponibile gratuit – nu ar trebui să fie un secret.

Sigur, fin1te a reușit să înlocuiască parametrul ID de profil trimis de browserul său către Facebook cu numărul unic al contului pe care dorea să îl acceseze…

.. și în câteva secunde telefonul său mobil a primit un SMS prin care i s-a confirmat că a reușit să conecteze cu succes dispozitivul la cont.

Succes. Un cont Facebook are acum asociat numărul de telefon mobil al unei terțe persoane. Fără să fie nevoie de malware sau phishing. Tot ceea ce s-a făcut a fost să se trimită un SMS.

Etapa finală a deturnării contului este simplă. Facebook vă permite, dacă doriți, să vă conectați la sistemul său folosind numărul de telefon mobil în loc de o adresă de e-mail, așa că, la conectare, introduceți numărul de telefon mobil pe care l-ați asociat cu contul victimei și solicitați resetarea parolei prin SMS.

Sigur, fin1te a descoperit că Facebook i-a trimis în mod corespunzător codul de resetare a parolei pentru cont – ceea ce înseamnă că a putut schimba parola contului și l-a blocat pe utilizatorul său legitim.

Aceasta este o modalitate incredibil de simplă, dar puternică de a prelua controlul asupra contului de Facebook al oricui.

Veștile bune sunt că fin1te a dezvăluit vulnerabilitatea în mod responsabil către Facebook, în loc să o exploateze cu intenții rău intenționate sau să o vândă altor părți. Facebook a rezolvat problema, astfel încât alte persoane nu mai pot profita de această gravă breșă de securitate. Pentru deranjul său, Facebook i-a acordat lui fin1te o recompensă consistentă în valoare de 20.000 de dolari și a reparat vulnerabilitatea.

Dar nu există nicio îndoială că pe piața subterană, poate vândută infractorilor cibernetici sau agențiilor de informații, descoperirea lui fin1te i-ar fi putut aduce și mai mulți bani.

Cine știe ce alte vulnerabilități grave de securitate pot exista în interiorul Facebook și care nu au fost raportate în mod responsabil echipei de securitate a companiei?

Dacă vă gândiți să părăsiți Facebook, de ce nu ascultați acest podcast „Smashing Security” pe care l-am înregistrat:

Ai găsit acest articol interesant? Urmăriți-l pe Graham Cluley pe Twitter pentru a citi mai mult din conținutul exclusiv pe care îl publicăm.