Einige Kerl dachte, wie soll ich Hack in jeder Facebook-Profil [aktualisiert]

Ein weißen Hut Hacker in Indien sagt, dass er einen Weg in jeder Facebook-Nutzer-Profil zu hacken gefunden. Nicht aber ausflippen! Wie ein guter weißer Hut alarmierte die Hacker Facebook das katastrophale Schlupfloch. Facebook zahlte ihm eine $15.000 Bug Bounty. Scheint gering.

Anand Prakash ist die oben genannten Security Engineer aus Indien. In einem Blogbeitrag Oper mit dem Titel "Wie ich alle Facebook-Konten gehackt haben könnte" erklärt Prakash wie er entdeckt eine Möglichkeit der Nutzung Facebooks "Passwort vergessen?" Algorithmus, seinen Weg in niemandes Konto Kraft und eine Proof-of-Concept-Video, die zeigt den Exploit hochgeladen. Prakash hat auch einen Screenshot von seinem Bug Bounty Zahlung von Facebook.

Facebook, wer mit Prakash vor daran gearbeitet wird, Fehler erschnüffeln, gab die folgende Erklärung zu Gizmodo: "eines der wertvollsten Vorteile von Bug-Bounty-Programmen ist die Fähigkeit, Probleme zu finden, noch bevor sie Produktion zu erreichen. Wir freuen uns, zu erkennen und belohnen Anand für seinen ausgezeichneten Bericht."

Wie Sie wahrscheinlich wissen, wenn Sie Ihr Passwort vergessen haben, wird Text Facebook oder per e-Mail einen sechsstelligen Bestätigungscode zum Einstecken in die Seite, so dass Sie das Kennwort zurücksetzen und auf Ihr Profil zugreifen können. Facebook ermöglicht den Menschen mehrere Versuche, den Code richtig eingeben, bevor sie gesperrt. Es ist eine Technik namens Bandbreitenbegrenzung, die im wesentlichen Identitätsdiebstahl verhindert aus einfach die Liste der alle möglichen Zahlenkombinationen hinunter, um schließlich den Code zu knacken. Diese Hacker-Technik heißt brute zwingen.

Das Problem ist, dass Facebooks Beta-Sites (wie beta.facebook.com) an Stelle dieser Bandbreitenbegrenzung Funktion nicht. Und so Prakash Brute-gezwungen seinen Weg zu jemandes berücksichtigen da die Beta-Site ihm eine unbegrenzte Anzahl von versuchen gab, die sechsstellige Bestätigungscode einzugeben. Schauen Sie sich Prakash YouTube-video für die ganze unterwegs.

Nachdem Sie erfolgreich das Kennwort des Benutzers zurückgesetzt, sagt Prakash war er "in der Lage, seine Credit/Debit-Karten gespeichert unter Zahlungsbereich, persönliche Fotos, etc. anzeigen." Dies ist genau die Art von Daten, die Sie würde nicht wollen, dass einen Hacker stehlen.

Melanie Ensign, Security Communications Rep bei Facebook, sagte mir in einem Telefon-Interview, das der Fehler eigentlich war nur in freier Wildbahn für 72 Stunden – auch die Beta-Website ist in der Regel durch brute-Force-Hacks, die Bandbreitenbegrenzung umgehen geschützt. Aber der Fehler erschien bei Facebook einen Systemwechsel auf dem Back-End war verlassen der Beta-Website vorübergehend anfällig.

Prakash sagt, er entdeckte die Verwundbarkeit und es am 22. Februar an Facebook gemeldet. Am 2. März verlieh Facebook ihm $15.000. Ohne Bestätigung von Facebook gibt es immer die Chance, dass dies einige sehr aufwendige Falschmeldung ist. Aber Facebook hat in der Tat ernste Sicherheitslücken und zahlt Hackern ein Kopfgeld für sie zu entdecken. Vor einem Jahr berichtete Gizmodo auf eine sehr ähnliche Art von Geschichte über einen weißen Hut Hacker und einen Fehler, der ihm erlaubt, ein Foto auf dem sozialen Netzwerk zu löschen. Facebook bestätigt, dass nutzen und die daraus resultierende Bounty, nachdem wir unsere Geschichte veröffentlicht, damit wir sehen was Zuck und Unternehmen diesmal tun möchten.

[Die Hacker News per Anand Prakash]

Update, 1:00 pm EST: Enthaltenen Erklärung von Facebook und Kontext von einem Telefon-Interview.

Kontaktieren Sie den Autor unter [email protected].