Ostatnie dni pokazują, że metodyka bardzo szybkiego rozwoju i publikacji nowego kodu przyjęta przez Facebooka oprócz wielu zalet ma także swoje gorsze strony. Jeden z badaczy odkrył banalnie prostą metodę na zresetowanie hasła innego użytkownika.
Tylko w ostatnich dwóch tygodniach opisywaliśmy dwa problemy związane z usługami Facebooka – filmy w serwisie Poke, które miały znikać, a nie znikały oraz prywatne życzenia sylwestrowe, które mógł przeczytać i skasować każdy użytkownik. Mimo wszystko powyższe błędy, choć banalne, nie miały wielkiego wpływu na ogólny poziom bezpieczeństwa użytkowników Facebooka. Tego samego nie można jednak powiedzieć o najnowszym odkryciu w kodzie serwisu.
Sow Ching Shiong, niezależny analityk, odkrył i zgłosił Facebookowi niewiarygodnie trywialny błąd, pozwalający na zresetowanie hasła dowolnego użytkownika w kilku prostych krokach. Błąd odnalazł w usłudze, ułatwiającej zmianę hasła użytkownikom, podejrzewającym, że ktoś dobrał się do ich konta. Pod adresem http://www.facebook.com/hacked użytkownik może, po podaniu swojego dotychczasowego hasła, wygodnie zmienić je na nowe.
Strona resetu hasła
Jeśli wprowadził prawidłowo dotychczasowe hasło, zostaje przekierowany na stronę
https://www.facebook.com/checkpoint/checkpointme?f=[id użytkownika]&r=web_hacked
Strona resetu hasła
Tam podaje dwukrotnie swoje nowe hasło i odzyskuje dostęp do konta.
Jak pewnie niektórzy z Was się już domyślili, autor odkrycia spróbował podmienić ID użytkownika na inne i zresetować cudze hasło. A skoro czytacie o tym w naszym serwisie, to znaczy to, że ta operacja zakończyła się sukcesem. Dowodem na to jest chociażby nazwisko odkrywcy błędu na liście Facebook Whitehat. Facebook błąd już naprawił, a my ciągle nie możemy zrozumieć, jak można było dopuścić do takiego zaniedbania. O ile w przypadku kartek sylwestrowych można było się spodziewać, że mechanizm powstał w ostatniej chwili i nie było czasu na testy, to tutaj mamy do czynienia z mechanizmem resetu hasła, który powinien ktoś przejrzeć przed publikacją. Ale może tylko nam się tak wydaje.
Komentarze
Muszę zacząć używać facebooka na co dzień. Ten serwis naprawdę staje się ciekawy!
„Ale może tylko nam się tak wydaje.” Nie tylko wam :)
Ciekawe ile jeszcze takich „drobnostek” im umknęło…
mam dziwne wrażenie że ten bug był wcześniej znany i napewno steki osób z niego korzystało aby kraść konta przyjaciół. Nie ma mowy aby taki błąd siedział w 1 000 000 000 społeczności i nikt go nie zauważył.
i tu możesz się mylić, każdy myśli, że facebook to wielka firma, koncern który nie pozwoli sobie na taki zaniedbania przez co większość penetratorów, analityków i gimbusów nawet nie próbuje się zabierać za próbę przebicia się przez zabezpieczenia. Aż tu nagle przyszedł ten który nie wiedział, że się nie da i tego dokonał. Proste? wg. mnie to najbardziej prawdopodobne.
Nie wiadomo kiedy ten błąd powstał.
Równie dobrze mógł istnieć dopiero od kilku-kilkunastu dni. ;)
Chcen wszystkie chasla zresetować
Jak teraz odzyskać dostęp do Facebooka, jeśli meil nie działa.. i wszystkie metody zawiodły?
wszystkie metody zawiodły?..jest jakaś alternatywa