16 833
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 833
/ContentUploads/N6536/facebook_hacking.jpg
Kattints ide  ➜

A Facebook jelszóváltoztatójával törték fel a fiókokat

Makay József2016.08.29. 11.25
/ContentUploads/N6536/facebook_hacking.jpgAmikor közzéteszünk egy cikket a másfél milliárd felhasználóval rendelkező Facebook informatikai és adatvédelmi biztonságáról, mindig van egy „szakértő” hozzászóló, aki szerint le vagyunk maradva a témában, hiszen a közösségi portál feltörése 2 percet sem vesz igénybe. Persze a helyzet nem ennyire egyszerű, de ezúttal is bebizonyosodott, hogy kellően alapos felderítéssel és egy kis munkával még akár sikeres is lehet egy ilyen támadás.

Egy Gurkirat Singh névre hallgató hacker ugyanis rájött, hogy a Facebook „jelszóváltoztatási kérelem” lehetősége egy 6 számjegyből álló, véletlenszerűen választott számmal azonosítja a kérelmeket. Így viszont elképzelhető, hogy ha egy kellően rövid határidőn belül 1 milliónál több felhasználó indít jelszóváltoztatási kérelmet, akkor a Facebook kénytelen tárolni a duplikációkat is, tehát több emberhez is ugyanazt az azonosítót rendeli – ami az mbasic.facebook.com oldalról kérve nem is fog változni addig, amíg fel nem használja az adott felhasználó.

A szakértőnek végül egészen elképesztő megoldásokat kellett alkalmaznia a siker érdekében. Például le kellett kérnie 2 millió regisztrált felhasználó nevét, amiből egy több mint 500 MB-os fájl született, szimulálnia kellett a felhasználói tevékenységet PhantomJS-ben, és a Google Compute Engine szolgáltatásba is regisztrálnia kellett egy virtuális gépet, hogy a Facebook ne tiltsa ki a rendszerből.

Végül brute-force módszerrel megkereste, hogy az általa találomra választott kérelemazonosító kihez lett rendelve, így már csak annyi dolga maradt, hogy beillessze a böngészőbe URL-ként, ezzel megszerezve egy felhasználó jelszóváltoztatási kérelem oldalát.

A probléma az, hogy a módszer csak találomra enged hozzáférést egy felhasználó fiókjához, ráadásul a kétlépcsős azonosításon is fennakadhat, de a Facebook még így is 500 dollárral, mai árfolyamon közel 140 ezer forinttal jutalmazta a szakértőt. Természetesen a sebezhetőséget időközben javították.

Forrás: Gurkirat Singh
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Ezek a jelenleg kapható legerősebb okostelefonok
Mesterséges intelligencia fejleszti a Kaspersky felhőalapú adatbázisát
A nap videója: Ez a különbség a vírus és a baktérium között
Moduláris okostelefon érkezik a Honortól
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Állásajánlatok
Termékfejlesztő mérnök
Scrum Master - Cloud & BigData Miskolc
Federation Services Specialist - Telekom IT TSI ADAM1 Budapest
Technológiafejlesztő Mérnök press-fit technológia
Vezető szoftverfejlesztő
Szolgáltatás létesítési koordinátor
Linux Operation Engineer Budapest