Autor: Batou | 29.6.2013 |
Tentokrát to šlo bez škodlivého kódu, nebo dokonce interakce uživatele. fin1te, původem ze Spojeného království, představil v postu na svém blogu způsob jak kompromitovat jakýkoliv FB účet pod jednu minutu pomocí SMS.
Hackerovi se podařilo exploitovat možnost poskytovanou Facebookem - propojení telefonního čísla s uživatelským účtem. To mu umožnilo získávat aktualizace pomocí SMS a přihlášení na účet pomocí čísla, místo e-mailu. Konkrétněji našel bug v souboru /ajax/settings/mobile/confirm_phone.php, který přijímá různé parametry. Mezi ně patří parametr code (ověřovací kód zaslaný na telefon), a profile_id (což je identifikátor účtu, propojený s telefonním číslem). Tento skript pracuje na pozadí v okamžiku, kdy uživatel potvrdí svoje telefonní číslo a potvrzovací kód, zaslaný na mobil. Přestože je parametr profile_id propojen s uživatelským účtem, jeho modifikace nevyvolá žádnou chybu.
Odezva Facebooku byla velmi rychlá, ihned po ohlášení chyby hackerem zjednali nápravu. Sám fin1te obdržel 20 000 dolarů v rámci programu BugBounty. Podrobnější popis, včetně názorných obrázků, najdete ve zdroji aktuality či na zmíněném blogu.