Trywialna metoda resetu cudzego hasła na Facebooku
Ostatnie dni pokazują, że metodyka bardzo szybkiego rozwoju i publikacji nowego kodu przyjęta przez Facebooka oprócz wielu zalet ma także swoje gorsze strony. Jeden z badaczy odkrył banalnie prostą metodę na zresetowanie hasła innego użytkownika.
Tylko w ostatnich dwóch tygodniach opisywaliśmy dwa problemy związane z usługami Facebooka – filmy w serwisie Poke, które miały znikać, a nie znikały oraz prywatne życzenia sylwestrowe, które mógł przeczytać i skasować każdy użytkownik. Mimo wszystko powyższe błędy, choć banalne, nie miały wielkiego wpływu na ogólny poziom bezpieczeństwa użytkowników Facebooka. Tego samego nie można jednak powiedzieć o najnowszym odkryciu w kodzie serwisu.
Sow Ching Shiong, niezależny analityk, odkrył i zgłosił Facebookowi niewiarygodnie trywialny błąd, pozwalający na zresetowanie hasła dowolnego użytkownika w kilku prostych krokach. Błąd odnalazł w usłudze, ułatwiającej zmianę hasła użytkownikom, podejrzewającym, że ktoś dobrał się do ich konta. Pod adresem http://www.facebook.com/hacked użytkownik może, po podaniu swojego dotychczasowego hasła, wygodnie zmienić je na nowe.
Strona resetu hasła
Jeśli wprowadził prawidłowo dotychczasowe hasło, zostaje przekierowany na stronę
https://www.facebook.com/checkpoint/checkpointme?f=[id użytkownika]&r=web_hacked
Strona resetu hasła
Tam podaje dwukrotnie swoje nowe hasło i odzyskuje dostęp do konta.
Jak pewnie niektórzy z Was się już domyślili, autor odkrycia spróbował podmienić ID użytkownika na inne i zresetować cudze hasło. A skoro czytacie o tym w naszym serwisie, to znaczy to, że ta operacja zakończyła się sukcesem. Dowodem na to jest chociażby nazwisko odkrywcy błędu na liście Facebook Whitehat. Facebook błąd już naprawił, a my ciągle nie możemy zrozumieć, jak można było dopuścić do takiego zaniedbania. O ile w przypadku kartek sylwestrowych można było się spodziewać, że mechanizm powstał w ostatniej chwili i nie było czasu na testy, to tutaj mamy do czynienia z mechanizmem resetu hasła, który powinien ktoś przejrzeć przed publikacją. Ale może tylko nam się tak wydaje.
Podobne wpisy
- Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com
- Jak można było pobrać bazę użytkowników serwisu Albicla.com
- Jak nie tworzyć swoich haseł – instrukcja prosto z Urzędu Wojewódzkiego w Poznaniu
- Pani minister wrzuciła zdjęcie, dziennikarz wszedł na tajne spotkanie
- Podstawy Bezpieczeństwa: Facebook – jak zadbać o bezpieczeństwo i prywatność
Muszę zacząć używać facebooka na co dzień. Ten serwis naprawdę staje się ciekawy!
„Ale może tylko nam się tak wydaje.” Nie tylko wam :)
Ciekawe ile jeszcze takich „drobnostek” im umknęło…
mam dziwne wrażenie że ten bug był wcześniej znany i napewno steki osób z niego korzystało aby kraść konta przyjaciół. Nie ma mowy aby taki błąd siedział w 1 000 000 000 społeczności i nikt go nie zauważył.
i tu możesz się mylić, każdy myśli, że facebook to wielka firma, koncern który nie pozwoli sobie na taki zaniedbania przez co większość penetratorów, analityków i gimbusów nawet nie próbuje się zabierać za próbę przebicia się przez zabezpieczenia. Aż tu nagle przyszedł ten który nie wiedział, że się nie da i tego dokonał. Proste? wg. mnie to najbardziej prawdopodobne.
Nie wiadomo kiedy ten błąd powstał.
Równie dobrze mógł istnieć dopiero od kilku-kilkunastu dni. ;)
Chcen wszystkie chasla zresetować
Jak teraz odzyskać dostęp do Facebooka, jeśli meil nie działa.. i wszystkie metody zawiodły?
wszystkie metody zawiodły?..jest jakaś alternatywa