Trywialna metoda resetu cudzego hasła na Facebooku

dodał 8 stycznia 2013 o 20:47 w kategorii Błędy, Wpadki  z tagami:
Trywialna metoda resetu cudzego hasła na Facebooku

Ostatnie dni pokazują, że metodyka bardzo szybkiego rozwoju i publikacji nowego kodu przyjęta przez Facebooka oprócz wielu zalet ma także swoje gorsze strony. Jeden z badaczy odkrył banalnie prostą metodę na zresetowanie hasła innego użytkownika.

Tylko w ostatnich dwóch tygodniach opisywaliśmy dwa problemy związane z usługami Facebooka – filmy w serwisie Poke, które miały znikać, a nie znikały oraz prywatne życzenia sylwestrowe, które mógł przeczytać i skasować każdy użytkownik. Mimo wszystko powyższe błędy, choć banalne, nie miały wielkiego wpływu na ogólny poziom bezpieczeństwa użytkowników Facebooka. Tego samego nie można jednak powiedzieć o najnowszym odkryciu w kodzie serwisu.

Sow Ching Shiong, niezależny analityk, odkrył i zgłosił Facebookowi niewiarygodnie trywialny błąd, pozwalający na zresetowanie hasła dowolnego użytkownika w kilku prostych krokach. Błąd odnalazł w usłudze, ułatwiającej zmianę hasła użytkownikom, podejrzewającym, że ktoś dobrał się do ich konta. Pod adresem http://www.facebook.com/hacked użytkownik może, po podaniu swojego dotychczasowego hasła, wygodnie zmienić je na nowe.


Strona resetu hasła

Jeśli wprowadził prawidłowo dotychczasowe hasło, zostaje przekierowany na stronę

https://www.facebook.com/checkpoint/checkpointme?f=[id użytkownika]&r=web_hacked


Strona resetu hasła

Tam podaje dwukrotnie swoje nowe hasło i odzyskuje dostęp do konta.

Jak pewnie niektórzy z Was się już domyślili, autor odkrycia spróbował podmienić ID użytkownika na inne i zresetować cudze hasło. A skoro czytacie o tym w naszym serwisie, to znaczy to, że ta operacja zakończyła się sukcesem. Dowodem na to jest chociażby nazwisko odkrywcy błędu na liście Facebook Whitehat. Facebook błąd już naprawił, a my ciągle nie możemy zrozumieć, jak można było dopuścić do takiego zaniedbania. O ile w przypadku kartek sylwestrowych można było się spodziewać, że mechanizm powstał w ostatniej chwili i nie było czasu na testy, to tutaj mamy do czynienia z mechanizmem resetu hasła, który powinien ktoś przejrzeć przed publikacją. Ale może tylko nam się tak wydaje.