Odhalení fatální bezpečnostní díry odměnil Facebook 20 tisíci dolarů

Britský bezpečnostní odborník byl Facebookem odměněn za to, že odhalil bezpečnostní díru umožňující se v několika snadných krocích dostat k účtu jakéhokoliv uživatele služby. Využíval přitom službu pro SMS ovládání účtů.

Věděli jste, že Facebook odměňuje všechny, kdo mu pomáhají opravovat chyby a díry v jeho službách? Bug Bounty Program odměňuje nálezce nedostatků v tisících i desítkách tisíc dolarů. Jedním z odměněných se stal i britský bezpečnostní odborník vystupující pod přezdívkou fin1te, který za odhalení nedostatku umožňujícího komukoliv snadno a rychle ukrást účet dostal 20 tisíc dolarů.

Dlužno dodat, že kdyby se rozhodl tento bug nečistě využít, místo aby jej sociální síti poctivě oznámil, mohl si přijít na mnohonásobně víc. Jeho čin je tak rozhodně třeba ocenit a je jen škoda, že jej Facebook neodměnil víc.

Postup, jak bug fungoval, zveřejnil fin1te na svém blogu a technologicky vzdělanější se při jeho čtení jistě dobře pobaví. Facebook nechal ohromnou díru v nástroji, s jehož pomocí si uživatelé mohou propojit svůj sociální účet s telefonem a poté jej ovládat pomocí SMS.

Problém byl v tom, že malou ruční modifikací obsahu odesílaného formuláře, kterým se služba aktivovala, bylo možné se svým vlastním heslem získat přístup k účtu někoho jiného. Jedinou podmínkou bylo, že útočník znal User ID zamýšlené oběti, tedy unikátní identifikační číslo, pod kterým Facebook daného uživatele vede. Taové číslo přitom není velký problém získat, sociální síť nikdy nezamýšlela, že by měly tyto identifikátory být tajné. Po získání přístupu k účtu stačilo zadat SMS pokyn ke změně hesla, tu provést, a voilà, přístup k účtu byl v kapse.

Facebook chybu na základě reportu opravil na konci května, pět dní po jejím oznámení. Získání přístupu k cizímu účtu tímto způsobem tak již naštěstí pro nás všechny možné není.

Total
0
Shares
Další články
Přečtěte si více

Světu už vévodí jen pět sociálních sítí, Facebook vede ve 127 zemích

Jak Facebook pokračuje ve svém tažení za světovou nadvládou, lokální konkurence menších sociálních sítí se snižuje. Od roku 2009, kdy Vincenzo Cosenza začal publikovat mapu dominantních sociálních sítí ve světě, se počet sítí, které v některé zemi byly nejsilnější, snížil ze 17 na pouhých pět. Jediným, kdo na jejich úkor posiloval, je přitom právě Facebook.
Přečtěte si více

LinkedIn otevře svou publikační platformu pro všechny

LinkedIn nechce být sociální sítí, kterou navštívíte, jen pokud zrovna hledáte práci. Pomoci by s tím mělo otevření publikační platformy pro všechny uživatele v příštích týdnech a měsících. LinkedIn by se tak mělo stát místem, kde si můžete budovat reputaci průběžně, nebo sledovat zajímavý obsah od ostatních uživatelů.