Gjen një gabim në facebook, shpërblehet me 20 mijë dollarë
Një hulumtues nga Mbretëria e Bashkuar ka marrë 20,000 dollarë amerikan për gjetjen e një vrime shumë serioze në Facebook që t’i mundësonte një sulmuesi që të merrte llogarinë e çdokujt me pak përpjekje.
Arnimi ishte bërë nga Facebook-u rreth një muaj më parë, shkroi Jack Whitten, që është inxhinier i sigurisë së aplikacionit në një postim në blogun e tij.
Whitten gjeti që ishte e mundshme që të ndryshohej fjalëkalimi i llogarisë së secilit duke shfrytëzuar një gabim në atë se si Facebook-u iu mundëson përdoruesve që të lidhin telefonat e tyre mobil me llogaritë e tyre me qëllim marrjen e përditësimeve me SMS.
Facebook-u dërgon një kod verifikues me SMS kur një përdorues regjistron një telefon.
Por Whitten gjeti që ishte e mundshme të ndryshohej fusha “profile_id” brenda formës së konfirmimit mobil për një përdorues tjetër.
Facebook-u pastaj pyet për një fjalëkalim, por jo atë të viktimës së tanishme, shkroi Whitten. Llogaria e viktimës është pastaj e lidhur pa dashje me sulmuesin. Whitten pastaj nisi një ndryshim të fjalëkalimit të llogarisë së viktimës. Kodi nevojitej për të ndryshuar atë fjalëkalim që ishte dërguar në telefonin e Whitten, së bashku me një lidhje për tek faqja e ndryshimit të fjalëkalimit.
“Ne e fusim këtë kod në formë, e zgjedhim një fjalëkalim të ri dhe kemi mbaruar. Llogaria është e jona,”, tha Whitten. Një vrimë si kjo e gjetur nga Whitten do të çmohej vërtet shumë nga sulmuesit kibernetikë që do të donin të abuzonin llogaritë në Facebook për spam ose për vjedhje të të dhënave personale.
“Shpërblimi i shoqëruar për këtë vrimë ishte 20,000 dollarë, duke demonstruar në mënyrë të qartë rreptësinë e kësaj çështjeje,” shkroi ai.
Whitten, që e ka nofkën “fin1te” është njohur për gjetje të gabimeve nga Google, Facebook dhe Etsy.