Дослідник Джеймс Мартіндейл опублікував в своєму блозі цікавий матеріал, що має назву: «Я начебто зламав пару акаунтів Facebook, використовуючи уразливість, яку вони не збираються виправляти». Мартіндейл дійсно знайшов спосіб перехоплення управління над чужим обліковим записом Facebook. Зробити це можна за допомогою функції відновлення акаунта і старого телефонного номера власника.

Проблема полягає в тому, що старі телефонні номери, які більше не належать власникам облікових записів, все одно залишаються прив’язані до акаунтів Facebook. Новий власник телефонного номера може без будь-яких проблем увійти в чужий акаунт, без використання паролю, а при бажанні може і зовсім змінити пароль на новий. Звичайно, проблема не дозволяє влаштовувати спрямовані атаки на конкретні облікові записи, проте навіть це не применшує її критичності.

Дослідник зв’язався з розробниками Facebook, але йому відповіли, що ця проблема не є багом. Після цього ситуацією зацікавилися журналісти видання The Register, які теж зв’язалися з представниками Facebook і попросили їх роз’яснити, чому компанія допускає подібне. Представники соціальної мережі повідомили, що «багато онлайнових сервісів дозволяють людям використовувати телефонні номери для відновлення [доступу] до акаунтів. Ми закликаємо користувачів додавати в список тільки актуальні телефонні номери, і якщо ми помічаємо «підозрілу» спробу відновлення паролю, то можемо запросити більше інформації про користувача».

Мартіндейл, в свою чергу, пише, що представники Facebook не розуміють або навмисно ігнорують саму суть проблеми. Справа в тому, що, на відміну від інших мережевих сервісів, Facebook дозволяє користувачам прив’язувати до акаунту відразу кілька телефонних номерів.

Сам дослідник виявив цю особливість абсолютно випадково, коли виявилося, що новий номер його мобільного телефону раніше вже був пов’язаний з чужим обліковим записом Facebook. Причому попереднього власника номера «скомпрометувала» сама соціальна мережа. Facebook прислала на номер дослідника текстове повідомлення, в якому неактивному користувачу Facebook пропонували повернутися до використання сервісу. Гірше того, незабаром Мартіндейл з’ясував, що до того ж облікового запису були прив’язані ще п’ять інших телефонних номерів.

Проблема полягає в тому, що Facebook дозволяє додати до акаунту новий телефонний номер, при цьому не видаляючи попередній, тому багато користувачів навіть не здогадуються про те, що старий номер взагалі потрібно видаляти.

«Коли я почав свій експеримент, я розраховував, що дійду до того моменту, коли примушу Facebook здійснити примусове скидання паролю, а потім зупинюся. Facebook здивував мене, дозволивши мені залогінитись, нічого не змінюючи. Я не знаю жодного іншого сайту, окрім Facebook, який дозволив би мені відновити акаунт за допомогою телефонного номера, але без зміни паролю», – розповідає дослідник.

Мартіндейл пише, що він перевірив на «прив’язку до Facebook» безліч телефонних номерів і часто йому щастило, він виявляв й інші вразливі акаунти. При цьому дослідник зазначає, що жодного разу не стикався зі спрацьовуванням захисного механізму, який покликаний помічати «підозрілі» спроби входу.

Дослідник резюмує, що Facebook дійсно потрібно попрацювати над безпекою. Як мінімум, варто відразу ж повідомляти користувачів про необхідність видалення старого телефонного номера, в разі його зміни. Також Мартіндейл зазначає, що «не можна дозволяти людям відновлювати акаунти, без примусового скидання паролю і відправки повідомлень на всі прив’язані до облікового запису email-адреси і номери телефонів. Власники акаунтів повинні знати, що їх паролі змінилися, щоб вони розуміли, що хтось без їх відома отримав доступ до їх профілів».

Коментарі закрито.

Поділитися

Вийшла третя бета-версія macOS 10.12.2 для розробників

Як завжди, слідом за новою бета-версією мобільної iOS Apple випустила і чергову тестову збірку настільної macOS. Третя бета-версія macOS 10.12.2 поки доступна тільки для зареєстрованих розробників. Учасникам програми публічного бета-тестування доступ до нової збірки відкриється, ймовірно, завтра або навіть сьогодні, через кілька годин. Офіційної інформації про зміни в macOS 10.12.2 beta 3 немає. У попередній […]

Євросоюз забезпечить безкоштовним інтернетом 8000 міст до 2020 року

Єврокомісія домовилася з Європарламентом про запуск нової ініціативи WiFi4EU, згідно з якою до 2020 року ЄС виділить країнам-учасницям союзу гранти на загальну суму $ 134 млн для установки безкоштовних точок Wi-Fi-доступу в громадських місцях, повідомляє The Next Web. Як розповів голова Єврокомісії Жан-Клод Юнкер ще під час першого розгляду ініціативи в минулому році, кампанія спрямована […]

Apple купила розробника штучного інтелекту

Компанія Apple придбала стартап Turi Inc., що займається розробкою штучного інтелекту і методів автоматизованого машинного навчання. Джерела повідомляють, що відповідні папери були підписані в минулу п’ятницю, а сума угоди склала близько 200 мільйонів доларів. Згідно з деякими ЗМІ, технології Turi компанія Apple планує використовувати для поліпшення і розширення функціональності голосового помічника Siri. Чим ще стане в […]