15 ezer dollárt fizetett ki a Facebook annak a biztonsági kutatónak, akinek köszönhetően már nem léphet be bárki bárki más fiókjába.

 

Amikor valaki visszaállítja (reseteli) saját fiókjának hozzáférését – mert elfelejtette a jelszavát –, a Facebook egy 6 jegyű PIN-kódot küld az előre megadott telefonszámra, ez használható ideiglenesen jelszó helyett. Amikor ezután próbál belépni valaki, akkor 10 alkalommal ronthatja el a 6 jegyű kódot, a Facebook ezután lezárja a fiókot.

A Facebook hibakereső programjának részeként 15 ezer dollárral jutalmazott Anand Prakash rájött, hogy ha a fejlesztők által gyakran használt beta.facebook.com irányból próbál valaki belépni a fenti módon a fiókjába – itt minden fiók elérhető, ami a sima Facebookon –, akkor a rendszer nem fogja kidobni, bárhányszor is próbálkozik.

Az új kódon keresztül lehetett bejutni

A rosszindulatú támadók így tehát megtehették, hogy kértek egy fiókvisszaállítást, és bár erről nem ők kapták meg az sms-t, de nem is volt baj: egy algoritmus segítségével viszonylag gyorsan végigpróbálhatták a beta.facebook.com felületen az összes 6 számjegyű kódlehetőséget. És amint bejutottak a fiókba, már ők adhatták meg annak új jelszavát, ilyen módon nem csak valaki összes adatához és üzenetéhez férhettek hozzá, de őt magát ki is zárták a fiókjából.

 hirdetes_810x300  

Prakash még februárban észlelte a hibát, melynek leírását elküldte a Facebooknak. A közösségi oldal üzemeltetői egy napon belül megerősítették neki, hogy valóban létezik a bug, amit addigra ki is javítottak. A bejelentő pedig nyolc nap múlva meg kapta a 15 ezer dollárját.

 

HVG.HU

 

 

Megosztás:

Tetszett önnek ez a cikk?

Kattintson az alábbi gombra vagy a kommentek között bővebben is kifejtheti véleményét.

Ön lehet az első aki a tetszik gombra kattint!