Odhalení fatální bezpečnostní díry odměnil Facebook 20 tisíci dolarů

Věděli jste, že Facebook odměňuje všechny, kdo mu pomáhají opravovat chyby a díry v jeho službách? Bug Bounty Program odměňuje nálezce nedostatků v tisících i desítkách tisíc dolarů. Jedním z odměněných se stal i britský bezpečnostní odborník vystupující pod přezdívkou fin1te, který za odhalení nedostatku umožňujícího komukoliv snadno a rychle ukrást účet dostal 20 tisíc dolarů.

Dlužno dodat, že kdyby se rozhodl tento bug nečistě využít, místo aby jej sociální síti poctivě oznámil, mohl si přijít na mnohonásobně víc. Jeho čin je tak rozhodně třeba ocenit a je jen škoda, že jej Facebook neodměnil víc.

Postup, jak bug fungoval, zveřejnil fin1te na svém blogu a technologicky vzdělanější se při jeho čtení jistě dobře pobaví. Facebook nechal ohromnou díru v nástroji, s jehož pomocí si uživatelé mohou propojit svůj sociální účet s telefonem a poté jej ovládat pomocí SMS.

Problém byl v tom, že malou ruční modifikací obsahu odesílaného formuláře, kterým se služba aktivovala, bylo možné se svým vlastním heslem získat přístup k účtu někoho jiného. Jedinou podmínkou bylo, že útočník znal User ID zamýšlené oběti, tedy unikátní identifikační číslo, pod kterým Facebook daného uživatele vede. Taové číslo přitom není velký problém získat, sociální síť nikdy nezamýšlela, že by měly tyto identifikátory být tajné. Po získání přístupu k účtu stačilo zadat SMS pokyn ke změně hesla, tu provést, a voilà, přístup k účtu byl v kapse.

Facebook chybu na základě reportu opravil na konci května, pět dní po jejím oznámení. Získání přístupu k cizímu účtu tímto způsobem tak již naštěstí pro nás všechny možné není.