IKT műhely - Facebook

Súlyos biztonsági rést tömtek be a Facebookon

Külföldi források alapján az ismert biztonsági szakember, Buherator írta meg ma blogjában, a Buhera Blogon azt a biztonsági incidenst, amely a Facebookkal kapcsolatos.

Buherator értelmezését követve: a közösségi oldal megengedi, hogy különböző mobil eszközöket, pl telefonokat is hozzárendeljünk a profilunkhoz.

Súlyos biztonsági rést tömtek be a Facebookon

Ennek eléréséhez a felhasználó bejelentkezés után megadja a telefonszámát a weben, kap sms-ben egy kódot a megadott számra, melyet aztán webes felületen kell visszaigazolnia, -küldenie. A hibát felfedező, majd ezért jutalomban is részesülő hacker azonban rájött, hogy az sms-kódot bekérő interfész megkap egy egy profile_id mezőt is, amit a felhasználó állíthat be.

Ez eddig nem lenne gond, de kiderült, hogy a szerveroldalon nem ellenőrzik, hogy a bejövő profile_id a bejelentkezett felhasználóhoz tartozik-e, így bárki fiókjához hozzá lehetett rendelni az adott telefont. És ahogy Buherator levonja a következtetést: „egy regisztrált telefon segítségével az ember remek dolgokat csinálhat, például kétfaktorosan autentikálhat, de éppen a jelszavát is megváltoztathatja, méghozzá a régi jelszó ismerete nélkül (elfelejtett jelszó), innentől pedig ugyebár gémóver van”.

Tovább a teljes cikkhez >>> itcafe.hu

<<< Szóljon hozzá a cikkhez! Ha hasznosnak találja lájkolja, twittelje! Kollégái, ismerősei így könnyebben rátalálnak és szívesen olvassák ezt a cikket. <<< egy kattintást megér!

***

Kapcsolódó cikkek:

Keresés a portálon


Főszerkesztő +Tarnavölgyi Gábor



 

Hozzászólás

Név:
E-mail cím:
Weblap:
Tárgy:
Hozzászólás: