02.09.2016

Hacker našel způsob, jak se dostat do vašeho účtu na Facebooku

Ano, ještě i v roce 2016 je stále možné jednoduše “hacknout” váš facebookový účet. A to ne pomocí klasického sociálního inženýrství, ale opravdu zneužitím slabiny v mechanismu Facebooku. A postup je až překvapivě přímočarý.

Cover%20%282%29

Po více než 5 letech fungování programu Facebook Bug Bounty, kdy bylo vyplaceno přes $4,000,000 (100 miliónů Kč) a nahlášeny tisíce nalezených zranitelností, by si člověk řekl, že ty nejjednodušší a nejsnáze nalezitelné slabiny systému už musí být dávno ošetřeny. Částečně tomu tak opravdu je, jak zmiňuje Reginaldo Silva, bezpečnostní výzkumník pracující ve Facebooku. Ne nadarmo se však říká, že pod lampou je největší tma, a tak s trochou štěstí můžete ještě i dnes najít zranitelnosti na místech, která už před vámi viděly tisíce dalších odborníků.


Takové štěstí měl nedávno i Anand Prakash, white hat hacker původem z Indie. Všiml si, že pokud zapomenete heslo k vašemu účtu, máte možnost si jej nechat resetovat. V takovém případě vám Facebook zašle do vaší e-mailové schránky nebo na váš mobilní telefon odkaz spolu s šestimístným číselným kódem, který ověří, že jste opravdu vlastník účtu. Problém je skrytý právě v délce ověřovacího kódu: šest číslic, tedy hodnoty 000000 až 999999 obsahují pouze milion možných kombinací. Stačí tedy hrubou silou (brute-force) prozkoušet všechny možnosti. Rychlostí 10 kombinací za sekundu máte dobrou šanci, že se za několik hodin trefíte…

Tedy, samozřejmě až tak jednoduché to není. Tento přístup musel napadnout jak každého druhého hackera, tak samozřejmě i bezpečnostní tým Facebooku. V tomto případě vás po několika málo sekundách zablokuje automatický systém a nedovolí vám nadále žádné další kombinace zkoušet. Nikoho (kromě Ananda) už ale nenapadlo, že by bezpečnostní tým zapomněl nasadit odpovídající automatický blokovací systém i na další subdomény Facebooku.


A tak skutečně na subdoméně beta.facebook.com tento blokovací systém chyběl, a bylo tak možné hrubou silou prozkoušet všechny možné kombinace kódu, jak je ostatně patrné i z Anandova PoC (Proof of Concept) videa. Facebook mu za nalezení této jednoduché, ale velmi závažné zranitelnosti udělil odměnu $15,000 (360 000 Kč).
Více na www.anandpraka.sh

Kam dál?