Πρόσφατα το Facebook επιδιόρθωσε μια ευπάθεια, η οποία επέτρεπε στους hackers να παραβιάσουν πολύ εύκολα οποιονδήποτε λογαριασμό του κοινωνικού δικτύου, εκμεταλλευόμενοι το χαρακτηριστικό που επιτρέπει στους χρήστες να λάβουν ενημερώσεις μέσω SMS, απλά συνδέοντας τον λογαριασμό τους με τον αριθμό του κινητού τηλεφώνου.
Σύμφωνα με τον ερευνητή από το Ηνωμένο Βασίλειο, ο οποίος ανακάλυψε το σφάλμα, η ευπάθεια υπήρχε στο τελικό σημείο “/ajax/settings/mobile/confirm_phone.php”.
Ο ειδικός ανακάλυψε ότι, αλλάζοντας την παράμετρο “profile_id”, η οποία αποθηκεύει τον λογαριασμό που έχει συνδεθεί με τον αριθμό τηλεφώνου, δεν εμφανίζεται κάποιο σφάλμα.
Ο επιτιθέμενος θα πρέπει πρώτα να βρει τον 8ψήφιο κωδικό επαλήθευσης αποστέλλοντας το γράμμα F στο SMS shortcode του Facebook.
Με την τροποποίηση της παραμέτρου “profile_id” μέσα στη φόρμα “fbMobileConfirmationForm” και με την εισαγωγή του κωδικού που έχει λάβει στο πεδίο ενεργοποίησης, ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση σε λογαριασμούς του Facebook που έχουν συνδέονται με το “profile_id.”
Φυσικά, να αναφέρουμε ότι ο κωδικός πρόσβασης των λογαριασμών που έχουν γίνει στόχος μπορεί εύκολα να αλλάξει.
Το Facebook ενημερώθηκε για το θέμα στις 23 Μαΐου 2013 και το επιδιόρθωσε πέντε μέρες αργότερα.
Μπορείτε να δείτε κάποιες εικόνες που περιέχουν πληροφορίες σχετικά με την επίθεση εδώ.
Το είδαμε: εδώ
Αν σας άρεσε κάντε Like:
