Оффлайн
- Регистрация
- 07.07.16
- Сообщения
- 437
- Реакции
- 54
- Репутация
- 119
Исследователь Джеймс Мартиндейл (James Martindale) опубликовал в своем блоге интересный материал, озаглавленный: «Я вроде бы взломал пару аккаунтов Facebook, используя уязвимость, которую они не собираются исправлять». Мартиндейл действительно нашел способ перехвата управления над чужой учетной записью Facebook. Сделать это можно посредством функции восстановления аккаунта и старого телефонного номера владельца.
Проблема заключается в том, что старые телефонные номера, более не принадлежащие владельцам учетных записей, все равно остаются привязаны к аккаунтам Facebook. По сути, новый владелец телефонного номера может без каких-либо проблем войти в чужой аккаунт, без использования пароля, а при желании может и вовсе сменить пароль на новый. Конечно, проблема не позволяет устраивать направленные атаки на конкретные учетные записи, однако даже это не умаляет ее критичности.
Исследователь связался с разработчиками Facebook, но ему ответили, что эта проблема не является багом. После этого ситуацией заинтересовались журналисты издания The Register, которые тоже связались с представителями Facebook и попросили их разъяснить, почему компания допускает подобное. Представители социальной сети сообщили, что «многие онлайновые сервисы позволяют людям использовать телефонные номера для восстановления [доступа] к аккаунтам. Мы призываем пользователей добавлять в список только актуальные телефонные номера, и если мы замечаем «подозрительную» попытку восстановления пароля, то можем запросить больше информации о пользователе».
Мартиндейл, в свою очередь, пишет, что представители Facebook не понимают или намеренно игнорируют самую суть проблемы. Дело в том, что, в отличие от других сетевых сервисов, Facebook позволяет пользователям привязывать к аккаунту сразу несколько телефонных номеров.
Сам исследователь обнаружил эту особенность совершенно случайно, когда оказалось, что новый номер его мобильного телефона ранее уже был связан с чьей-то учетной записью Facebook. Причем предыдущего владельца номера «скомпрометировала» сама социальная сеть. Facebook прислала на номер исследователя текстовое сообщение, в котором неактивному пользователю Facebook предлагали вернуться к использованию сервиса. Хуже того, вскоре Мартиндейл выяснил, что к той же учетной записи были привязаны еще пять других телефонных номеров.
Проблема состоит в том, что Facebook позволяет добавить к аккаунту новый телефонный номер, при этом не удаляя предыдущий, поэтому многие пользователи даже не догадываются о том, что старый номер вообще нужно удалять.
«Когда я начал свой эксперимент, я рассчитывал, что дойду до того момента, когда заставляю Facebook осуществить принудительный сброс пароля, а затем остановлюсь. Facebook удивил меня, позволив мне залогиниться, ничего не меняя. Я не знаю ни одного другого сайта, кроме Facebook, который позволил бы мне восстановить аккаунт при помощи телефонного номера, но без смены пароля», — рассказывает исследователь.
Мартиндейл пишет, что он проверил на «привязку к Facebook» множество телефонных номеров и часто ему везло, он обнаруживал и другие уязвимые аккаунты. При этом исследователь отмечает, что ни разу не сталкивался со срабатыванием защитного механизма, который призван замечать «подозрительные» попытки входа.
Исследователь резюмирует, что Facebook определенно нужно поработать над безопасностью. Как минимум, стоит сразу же уведомлять пользователей о необходимости удаления старого телефонного номера, в случае его смены. Также Мартиндейл отмечает, что «нельзя позволять людям восстанавливать аккаунты, без принудительного сброса пароля и отправки уведомлений на все привязанные к учетной записи email-адреса и номера телефонов. Владельцы аккаунтов должны знать, что их пароли поменялись, чтобы они понимали, что кто-то без их ведома получил доступ к их профилям».
Проблема заключается в том, что старые телефонные номера, более не принадлежащие владельцам учетных записей, все равно остаются привязаны к аккаунтам Facebook. По сути, новый владелец телефонного номера может без каких-либо проблем войти в чужой аккаунт, без использования пароля, а при желании может и вовсе сменить пароль на новый. Конечно, проблема не позволяет устраивать направленные атаки на конкретные учетные записи, однако даже это не умаляет ее критичности.
Исследователь связался с разработчиками Facebook, но ему ответили, что эта проблема не является багом. После этого ситуацией заинтересовались журналисты издания The Register, которые тоже связались с представителями Facebook и попросили их разъяснить, почему компания допускает подобное. Представители социальной сети сообщили, что «многие онлайновые сервисы позволяют людям использовать телефонные номера для восстановления [доступа] к аккаунтам. Мы призываем пользователей добавлять в список только актуальные телефонные номера, и если мы замечаем «подозрительную» попытку восстановления пароля, то можем запросить больше информации о пользователе».
Мартиндейл, в свою очередь, пишет, что представители Facebook не понимают или намеренно игнорируют самую суть проблемы. Дело в том, что, в отличие от других сетевых сервисов, Facebook позволяет пользователям привязывать к аккаунту сразу несколько телефонных номеров.
Сам исследователь обнаружил эту особенность совершенно случайно, когда оказалось, что новый номер его мобильного телефона ранее уже был связан с чьей-то учетной записью Facebook. Причем предыдущего владельца номера «скомпрометировала» сама социальная сеть. Facebook прислала на номер исследователя текстовое сообщение, в котором неактивному пользователю Facebook предлагали вернуться к использованию сервиса. Хуже того, вскоре Мартиндейл выяснил, что к той же учетной записи были привязаны еще пять других телефонных номеров.
Проблема состоит в том, что Facebook позволяет добавить к аккаунту новый телефонный номер, при этом не удаляя предыдущий, поэтому многие пользователи даже не догадываются о том, что старый номер вообще нужно удалять.
«Когда я начал свой эксперимент, я рассчитывал, что дойду до того момента, когда заставляю Facebook осуществить принудительный сброс пароля, а затем остановлюсь. Facebook удивил меня, позволив мне залогиниться, ничего не меняя. Я не знаю ни одного другого сайта, кроме Facebook, который позволил бы мне восстановить аккаунт при помощи телефонного номера, но без смены пароля», — рассказывает исследователь.
Мартиндейл пишет, что он проверил на «привязку к Facebook» множество телефонных номеров и часто ему везло, он обнаруживал и другие уязвимые аккаунты. При этом исследователь отмечает, что ни разу не сталкивался со срабатыванием защитного механизма, который призван замечать «подозрительные» попытки входа.
Исследователь резюмирует, что Facebook определенно нужно поработать над безопасностью. Как минимум, стоит сразу же уведомлять пользователей о необходимости удаления старого телефонного номера, в случае его смены. Также Мартиндейл отмечает, что «нельзя позволять людям восстанавливать аккаунты, без принудительного сброса пароля и отправки уведомлений на все привязанные к учетной записи email-адреса и номера телефонов. Владельцы аккаунтов должны знать, что их пароли поменялись, чтобы они понимали, что кто-то без их ведома получил доступ к их профилям».
Оффлайн
- Регистрация
- 04.07.17
- Сообщения
- 51
- Реакции
- 1
- Репутация
- 6
Находчивый то какой парнишка, но вообще представители фейсбука могли бы и усовершенствовать эту систему, а то имея телефон просто взять и залогинится, это конечно туповато
а что там усовершенствовать?)они же не знают у кого номер новый у кого нет.
- Регистрация
- 10.07.17
- Сообщения
- 42
- Реакции
- 1
- Репутация
- 3
да такое случиться может раз на миллион.
Полностью согласна, да и я не думаю что если бы это был баг то facebook бы так бездействовали. Все нормально..
Оффлайн
oly767
Заблокирован
- Регистрация
- 30.07.17
- Сообщения
- 54
- Реакции
- 2
- Репутация
- -5
Никогда не было фейсбука..и слава богу
Ну так могут акаунт в контакте угнать это вообще легко делается и что?
Оффлайн
- Регистрация
- 28.07.17
- Сообщения
- 50
- Реакции
- 2
- Репутация
- 5
Вконтакте по-моему тоже так было можно. Насчет настоящего времени не знаю. Баги и уязвимости как-никак исправляют, особенно после сливов.
Не удмаю что это уязвимость ,ибо фейсбук такое точно игнорировать не стало бы
Ну так ничто не совершенно, была дырочка залатали, есть еще прост о них пока не знают это нормально
- Регистрация
- 28.07.17
- Сообщения
- 47
- Реакции
- 0
- Репутация
- 2
Сейчас все могут взломать
Так вроде бы писали что об этой дырочке знают и не работаю над нею
Оффлайн
- Регистрация
- 01.08.17
- Сообщения
- 39
- Реакции
- 0
- Репутация
- 3
S
Sanek12345, Но думаю без весомых причин этого делать скорее всего не будут
Оффлайн
- Регистрация
- 30.07.17
- Сообщения
- 43
- Реакции
- 2
- Репутация
- 6
Точно такое же имеется и вконтакте. Я когда зарегистрировал новый номер хотел завести страничку вконтакте. Обнаружил то, что эта страница уже существует и я ее легко восстановил и поменят пароль. Конечно, я потом отдал страничку владелице и создал себе новую с привязкой нового номера.
Причем тут это? Прото уязвимость, при чем тут всё можно взломать? Это же не даркмони тут спамить нельзя
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.