12.3.2018 14:27 | Správy

Dve miliardy účtov na Facebooku sa dali ľahko hacknúť

Ilustračná snímka
Bola za tým školácka chyba (Ilustračná snímka). Zdroj: iStock

Vývojári nezabezpečili beta verzie siete. Chybu už napravili.

Indický bezpečnostný inžinier Anand Prakaš našiel spôsob, ako zmeniť heslo ľubovoľného účtu na najväčšej sociálnej sieti. Prípadnú obeť mohol odhlásiť z aktuálne používaného zariadenia a nad kontom prevziať kontrolu.

Nebolo to pritom vôbec ťažké. Prakašovi stačilo hrubou silou uhádnuť 6-ciferný overovací kód.

Školácka chyba

Inžinier zneužil funkciu pre obnovu zabudnutého hesla ku kontu, ktorú ponúka prakticky akákoľvek služba pracujúca s používateľskými účtami.

V bežnom prípade používateľ na Facebooku zadá e-mail alebo telefónne číslo priradené k účtu. Sieť mu následne zašle šesťmiestny kód, po ktorého zadaním si môže nastaviť nové heslo.

Ilustračná snímka (zdroj: Shutterstock.com)
Čítajte aj Na Facebooku máte desiatky hesiel, hoci ste si nastavili len jedno. Vraj je to...

Aby sa daný kód nedal uhádnuť automatizovaným útokom hrubou silou – skúšaním všetkých možných číselných kombinácií – služby štandardne zavádzajú limity, napríklad pre počet chybných pokusov. Prakaša systém zastavil po asi 10 – 12 neplatných zadaniach.

Obmedzenie chcel obísť, a tak skontroloval, či je rovnaké zabezpečenie nastavené aj na beta verzii Facebooku, ktorá sa dá spustiť napríklad cez odkaz beta.facebook.com.

Demonštrácia prevzatia kontroly nad cieľovým účtom:

Zistil, že tieto adresy sieť nezabezpečila. Stačilo tak zadať e-mailovú adresu obete a špeciálnym nástrojom skúšať rôzne číselné kombinácie, až kým nenájde tú správnu.

Dostal „malú“ odmenu

Bezpečnostný inžinier neuviedol, či sa týmto spôsobom mohol dostať aj do účtov zabezpečených dvojfaktorovou autentifikáciou. Chybu nahlásil Facebooku ešte koncom februára 2016. Sieť ju opravila a odmenila ho takzvaným bug bounty vo výške 15-tisíc amerických dolárov (asi 12 200 eur).

Pripomeňme, že každý používateľ Facebooku sa môže do svojho konta prihlásiť pomocou desiatok platných hesiel. Napriek tomu, že sám si zvolil iba jedno.

Ako sme informovali ešte v júni minulého roka, sieť sa tak snaží zabrániť neplatným prihlasovacím pokusom po najčastejších preklepoch – napríklad pri nechcene zapnutom Caps Locku.

(1 EUR = 1,2291 USD)

Diskusia 15 Príspevkov