2017. október 22., vasárnap

Gyorskeresés

Botrányos biztonsági hiba a Facebookon

  • (f)
  • (p)
Írta: | | Forrás: Buhera Blog

A döbbenetes biztonsági rést egy szemfüles szakember fedezte fel, és azóta már javították is.

Külföldi források alapján az ismert biztonsági szakember, Buherator írta meg ma blogjában, a Buhera Blogon azt a biztonsági incidenst, amely a Facebookkal kapcsolatos.

Hirdetés

Buherator értelmezését követve: a közösségi oldal megengedi, hogy különböző mobil eszközöket, pl. telefonokat is hozzárendeljünk a profilunkhoz. Ennek eléréséhez a felhasználó bejelentkezés után megadja a telefonszámát a weben, kap sms-ben egy kódot a megadott számra, melyet aztán webes felületen kell visszaigazolnia, -küldenie.

A hibát felfedező, majd ezért jutalomban is részesülő hacker azonban rájött, hogy az sms-kódot bekérő interfész megkap egy egy profile_id mezőt is, amit a felhasználó állíthat be. Ez eddig nem lenne gond, de kiderült, hogy a szerveroldalon nem ellenőrzik, hogy a bejövő profile_id a bejelentkezett felhasználóhoz tartozik-e, így bárki fiókjához hozzá lehetett rendelni az adott telefont.

Facebook

És ahogy Buherator levonja a következtetést: „egy regisztrált telefon segítségével az ember remek dolgokat csinálhat, például kétfaktorosan autentikálhat, de éppen a jelszavát is megváltoztathatja, méghozzá a régi jelszó ismerete nélkül (elfelejtett jelszó), innentől pedig ugyebár gémóver van”.

A már javított hiba részletes leírását fin1te.net oldalon lehet elolvasni.

Gyártók, szolgáltatók

Copyright © 2000-2017 PROHARDVER Informatikai Kft.