21:33
8/1/2013

Dopiero co opisaliśmy, jak można było przejąć konto dowolnego pracownika Facebooka przy pomocy podstawowego błędu w tzw. usłudze “bezpiecznej wymianie plików”, a tu okazuje się, że bardzo podobny błąd pozwalał zresetować hasło dowolnemu użytkownikowi Facebooka (i w konsekwencji przejąć jego konto).

Banalny błąd programistyczny

Jak informuje Sow Ching Shiong, Facebook posiada formularz do zmiany hasła użytkownika wykorzystywany do przywrócenia dostępu do konta w przypadku kradzieży konta.

Formularz ten znajduje się pod adresem: https://www.facebook.com/hacked i przekierowuje na adres:

https://www.facebook.com/checkpoint/checkpointme?f=[userid]&r=web_hacked

Reset hasła w Facebooku

Reset hasła w Facebooku

Po kliknięciu Continue docieramy do:

Formularz resetu hasła na Facebooku

Formularz resetu hasła na Facebooku

…gdzie możemy podać nowe hasło. I Tyle.

Zapewne domyślacie się na czym polega błąd — podając w powyższym linku inne UserID niż nasze, mogliśmy zmienić hasło nie sobie, a dowolnemu użytkownikowi.

Zabezpiecz się przed przejęciem konta na Facebooku

Facebook pewnie jeszcze nie raz da ciała, dlatego warto wiedzieć, że zresetowanie komuś hasła nie zawsze musi oznaczać przejęcie jego konta. Jeśli ktoś korzysta z udostępnianego przez Facebook dwuskładnikowego uwierzytelnienia, atakujący musiałby jeszcze posiadać dostęp do telefonu ofiary aby przechwycić kod z SMS-a lub aplikacji konieczny do zalogowania się na konto. Wniosek: włączajcie dwuskładnikowe uwierzytelnienie gdzie się tylko da.

Aha, i w przypadku Facebooka bezpieczniej generować kody Facebookową aplikacją na telefon niż otrzymywać je SMS-ami — chodzi nie tylko o mogące wystąpić opóźnienia w otrzymywaniu SMS, ale również o fakt, że token z SMS-a mogą przechwycić operatorzy GSM lub różne służby ;)

Zła passa Facebooka

Facebook coś ostatnio nie ma dobrej passy. Bardzo podobny błąd załatano niedawno w Facebookowej usłudze do wysyłania noworocznych życzeń. Warto jednak zauważyć, że w tym przypadku błąd nie został ujawniony przed jego załataniem — i tu widać zaletę posiadania programu bug bounty.


Przeczytaj także:

24 komentarzy

Dodaj komentarz
  1. Wygląda jakby wszystkie te zbugowane fragmenty kodu pisała jedna i ta sama osoba/ekipa ;)

    • Ekspert ds. spieprzonego się logowania na Facebooka. ;)

    • Obawiam się, że jak zwykle odpowiadają za to słynni stażyści Facebooka o których co chwila słychać w mediach, jak to dobrze zarabiają w USA.

      Także gdy ja byłem rekrutowany do pracy w FB, to słyszałem w rozmowach na Skype od ich senior developerów, którzy mnie przepytywali, że od brudnej roboty (czyli programowania) mają zespoły stażystów (mój wniosek: więc sami raczej nadzorują niż piszą?). Traktowałem to wtedy jednak jako żart rozluźniający “interview”. Teraz już nie jestem tego taki pewien…

  2. Na szczęście usnąłem konto na Facebooku :))

    • Usunięcie konta na facebooku w tym przypadku oznacza jego ‘tymczasowe wyłączenie’ – w każdej chwili po próbie zalogowania można odzyskać konto z listą znajomych, którą wcześniej się miało, wiadomościami, postami etc.
      Niestety nie ma powodu do radości.

    • Wbrew powszechnemu przekonaniu, da się usunąć konto na FB
      bez możliwości odzyskania. Robi się to gdzieś indziej niż
      “zawieszanie”, które masz na myśli. Od zawsze i nadal.

    • To spróbuj :)

  3. Link do facebookowej aplikacji na telefon nie działa.

    Należy wejść w https://www.facebook.com/settings?tab=security&section=approvals&view i tam kliknąć w odpowiedni link (javascript coś dodatkowo robi i dlatego statyczne wejście w link z artykułu nie działa).

  4. DLACZEGO?! Dlaczego nie piszecie o takich rzeczach wczesniej ?!?!

  5. Do kiedy to bylo aktualne ?

  6. Dobrze, że jest możliwość zmiany haseł sms na token.
    Szkoda tylko, że do tego służy ich aplikacja zamiast wykorzystać już istniejącą, np. Google Authenticator

  7. Kiedyś uruchomiłem logowanie poprzez SMS, lecz wiadomości, albo przychodzą bez części tekstu albo z opóźnieniem. Dodatkowo posiadając BlackBerry nie ma się możliwości instalacji athenticatora :(

  8. Buhahahaha
    ;/ faceshit

  9. Co jak co ale błąd tego typu? Tragedia…

  10. Sposob na usuniecie konta na fb.

    Klikamy w ponizszy link, robimy co pisza a po 14 dniach przestajemy istniec :D

    https://www.facebook.com/help/contact.php? show_form=delete_account

    Nalezy pamietac aby czasie tych 14dni nie logowac sie.

  11. Czemu zawsze mówicie po fakcie? :/
    Tak, to jeszcze przed załataniem dziury, byśmy pokazali programistom od Faceobooka, żeby nauczyli się programować.

  12. Wy jesteście niektórzy nie normalni..
    plujecie się o to ze ktoś was wcześniej nie poinformował o tym ze można komuś hasło zmienić …
    i co wam dzieci to da ?…

    • A kto tu jest normalny? : ) Albo jeszcze bardziej przewrotne pytanie: kto to jest normalny?

  13. z tego co zbadalem to nie da sie tego zrobic ;)
    przy wpisaniu https://www.facebook.com/checkpoint/checkpointme?f=%5Bxxxxxxxxx%5D&r=web_hacked- wywala na glowna facebooka

    a przy https://www.facebook.com/checkpoint/checkpointme?f=xxxxxxxxxxxxx&r=web_hacked- (bez nawiasow kwadratowych przy id) prosi o zresetowanie naszego hasla ;)

    • Bo juz naprawione………….

  14. już dawno się wycofałem z fejsa… straszny moloh się zrobił i coraz więcej pułapek.

  15. witam! mam poważny problem ktoś przejoł moje konto fb zmienił adres mail i hasło oraz odzyskanie hasła za pomocą pytania pomocniczego i tel. i rozsyła różne głupoty do znajomych itp. jest jakaś szansa odzyskania konta lub jego usunięcie? bardzo pilnie proszę o pomoc!!!!

  16. Przepraszam, że odświeżam tak stary artykuł, ale coś nie daje mi spokoju. W jaki sposób można było dokonać utworzenia nowego hasła bez kontroli ze strony facebooka, że osoba, która chce je zresetować, jest tą właściwą. Innymi słowy, jak to wyglądało w praktyce:
    – Wchodzę na facebook, wpisuję mój adres e-mail i losowe hasło (bo nie jestem zalogowany).
    – Zostaję przekierowany do strony, gdzie mogę poprosić o utworzenie nowego hasła.
    – I już dostaję taką możliwość? Przecież musiał być wysyłany jakiś link weryfikujący na maila, czy cokolwiek innego.
    Bardzo byłbym wdzięczny, jeżeli wyprowadzili by Państwo mnie z błędu.

  17. Dziękuje pomogło :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: