08.01.2013 | 20:47

Adam Haertle

8 komentarzy

Trywialna metoda resetu cudzego hasła na Facebooku

Ostatnie dni pokazują, że metodyka bardzo szybkiego rozwoju i publikacji nowego kodu przyjęta przez Facebooka oprócz wielu zalet ma także swoje gorsze strony. Jeden z badaczy odkrył banalnie prostą metodę na zresetowanie hasła innego użytkownika.

Tylko w ostatnich dwóch tygodniach opisywaliśmy dwa problemy związane z usługami Facebooka – filmy w serwisie Poke, które miały znikać, a nie znikały oraz prywatne życzenia sylwestrowe, które mógł przeczytać i skasować każdy użytkownik. Mimo wszystko powyższe błędy, choć banalne, nie miały wielkiego wpływu na ogólny poziom bezpieczeństwa użytkowników Facebooka. Tego samego nie można jednak powiedzieć o najnowszym odkryciu w kodzie serwisu.

Sow Ching Shiong, niezależny analityk, odkrył i zgłosił Facebookowi niewiarygodnie trywialny błąd, pozwalający na zresetowanie hasła dowolnego użytkownika w kilku prostych krokach. Błąd odnalazł w usłudze, ułatwiającej zmianę hasła użytkownikom, podejrzewającym, że ktoś dobrał się do ich konta. Pod adresem http://www.facebook.com/hacked użytkownik może, po podaniu swojego dotychczasowego hasła, wygodnie zmienić je na nowe.


Strona resetu hasła

Jeśli wprowadził prawidłowo dotychczasowe hasło, zostaje przekierowany na stronę

https://www.facebook.com/checkpoint/checkpointme?f=[id użytkownika]&r=web_hacked


Strona resetu hasła

Tam podaje dwukrotnie swoje nowe hasło i odzyskuje dostęp do konta.

Jak pewnie niektórzy z Was się już domyślili, autor odkrycia spróbował podmienić ID użytkownika na inne i zresetować cudze hasło. A skoro czytacie o tym w naszym serwisie, to znaczy to, że ta operacja zakończyła się sukcesem. Dowodem na to jest chociażby nazwisko odkrywcy błędu na liście Facebook Whitehat. Facebook błąd już naprawił, a my ciągle nie możemy zrozumieć, jak można było dopuścić do takiego zaniedbania. O ile w przypadku kartek sylwestrowych można było się spodziewać, że mechanizm powstał w ostatniej chwili i nie było czasu na testy, to tutaj mamy do czynienia z mechanizmem resetu hasła, który powinien ktoś przejrzeć przed publikacją. Ale może tylko nam się tak wydaje.

Powrót

Komentarze

  • 2013.01.08 21:11 vizzdoom

    Muszę zacząć używać facebooka na co dzień. Ten serwis naprawdę staje się ciekawy!

    Odpowiedz
  • 2013.01.08 21:11 Mati

    „Ale może tylko nam się tak wydaje.” Nie tylko wam :)

    Ciekawe ile jeszcze takich „drobnostek” im umknęło…

    Odpowiedz
  • 2013.01.08 22:41 sojuz151

    mam dziwne wrażenie że ten bug był wcześniej znany i napewno steki osób z niego korzystało aby kraść konta przyjaciół. Nie ma mowy aby taki błąd siedział w 1 000 000 000 społeczności i nikt go nie zauważył.

    Odpowiedz
    • 2013.01.09 18:24 werran

      i tu możesz się mylić, każdy myśli, że facebook to wielka firma, koncern który nie pozwoli sobie na taki zaniedbania przez co większość penetratorów, analityków i gimbusów nawet nie próbuje się zabierać za próbę przebicia się przez zabezpieczenia. Aż tu nagle przyszedł ten który nie wiedział, że się nie da i tego dokonał. Proste? wg. mnie to najbardziej prawdopodobne.

      Odpowiedz
      • 2013.01.10 17:55 LionKing

        Nie wiadomo kiedy ten błąd powstał.
        Równie dobrze mógł istnieć dopiero od kilku-kilkunastu dni. ;)

        Odpowiedz
  • 2018.03.03 04:55 Robert

    Chcen wszystkie chasla zresetować

    Odpowiedz
  • 2020.02.14 20:23 Eve

    Jak teraz odzyskać dostęp do Facebooka, jeśli meil nie działa.. i wszystkie metody zawiodły?

    Odpowiedz
  • 2020.02.14 20:25 Eve

    wszystkie metody zawiodły?..jest jakaś alternatywa

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Trywialna metoda resetu cudzego hasła na Facebooku

Komentarze