A Facebookhoz hasonló szolgáltatásokban a biztonsági kutatók általában vagy komplex, vagy legalábbis nehezen felfedezhető biztonsági réseket keresnek, mivel a rendszeres belső biztonsági auditoknak köszönhetően a nyilvánvaló hibákat még idejekorán sikerül befoltozniuk a programozóknak. Anand Prakash nemrég egy arcpirítóan egyszerű trükkel több millió facebookozó felhasználói fiókja felett vehette volna át az irányítást.
A probléma nem a Facebook stabil, hanem a béta (beta.facebook.com) változatát érintette. Amennyiben a felhasználók elfelejtik a jelszavukat, és korábban hozzárendelték a telefonszámukat a szolgáltatáshoz, akkor a Facebook küld SMS-ben egy hatszámjegyű kódot, a felhasználók ezzel hitelesíthetik magukat az új jelszavuk beállításához. A visszaélések elkerülése érdekében a Facebook 10-12 hibás kódmegadás után átmenetileg letiltja az adott számítógépről a belépési kísérleteket, így a támadó nem tudja scriptek segítségével végigpróbálgatni az összes lehetséges kódot.
Valamilyen oknál fogva a Facebook béta felületén kikapcsolták ezt a védelmet, így Prakash bármely olyan felhasználói fiókba képes lehetett volna belépni, amely támogatta az SMS-es kódküldést. Néhány órával a hiba bejelentése után a Facebook munkatársai befoltozták a sérülékenységet, a biztonsági kutató pedig 15 ezer dolláros (durván 4,2 millió forintos) jutalmat kapott a probléma felfedezéséért.
(Forrás: The Verge | Nyitókép: Veritasium)
