Ένας ερευνητής ασφάλειας εντοπίζοντας τις αδυναμίες στον μηχανισμό επαναφοράς κωδικού πρόσβασης του κοινωνικού δικτύου του facebook, βρήκε έναν τρόπο για να χακάρει οποιονδήποτε λογαριασμό.
Ο ειδικός κυβερνοασφάλειας Samip Aryal από το Νεπάλ ανακάλυψε ότι με την απεγκατάσταση και την επανεγκατάσταση της εφαρμογής Facebook με διαφορετικούς χρήστες, μπορούσε να χειριστεί τη ροή επαναφοράς κωδικού πρόσβασης του Facebook για να αλλάξει τον κωδικό ελέγχου ταυτότητας/σύνδεσης και να αναλάβει τον λογαριασμό.
Αυτό ήταν δυνατό λόγω πολλών αδυναμιών:
1 – ο κωδικός παρέμεινε έγκυρος για δύο ώρες (αρκετός χρόνος για εντοπισμό του 6ψήφιου κωδικού)
2 – ο ίδιος κωδικός στάλθηκε κάθε φορά σε διάστημα 2 ωρών
3 – Ο Aryal (ο εισβολέας) θα μπορούσε να επιχειρήσει όσους λανθασμένους κωδικούς σύνδεσης χρειάζεται, επιτρέποντας να έχει και πάλι πολλές επιλογές
Χρησιμοποιώντας τον σωστό κωδικό, ο Aryal επανέφερε τον κωδικό πρόσβασης του λογαριασμού και πήρε τον έλεγχο, γεγονός που του επέτρεψε να ορίσει νέο κωδικό πρόσβασης, να απενεργοποιήσει τον έλεγχο ταυτότητας πολλαπλών παραγόντων κ.λπ.
Το Facebook ζήτησε από την πλευρά του μερικές διευκρινίσεις πριν αντιμετωπίσει το θέμα μόνο λίγες μέρες αργότερα, απαντώντας στον Aryal.
Πώς θα την… γλυτώσετε
Εάν είστε χρήστης του Facebook, φροντίστε να έχετε ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να είστε προσεκτικοί με τα ανεπιθύμητα μηνύματα επαναφοράς κωδικού πρόσβασης – ή τυχόν μηνύματα που αφορούν αλλαγές στον λογαριασμό σας.
Εάν έχετε αμφιβολίες, ξεκινήστε μόνοι σας τη ροή επαναφοράς κωδικού πρόσβασης, ορίστε έναν ολοκαίνουργιο σύνθετο κωδικό πρόσβασης και αποφύγετε τη χρήση SMS για έλεγχο ταυτότητας πολλαπλών παραγόντων. Αντίθετα, χρησιμοποιήστε μια αξιόπιστη εφαρμογή Authenticator.
Tο pronews.gr δημοσιεύει κάθε σχόλιο το οποίο είναι σχετικό με το θέμα στο οποίο αναφέρεται το άρθρο. Ο καθένας έχει το δικαίωμα να εκφράζει ελεύθερα τις απόψεις του. Ωστόσο, αυτό δεν σημαίνει ότι υιοθετούμε τις απόψεις αυτές και διατηρούμε το δικαίωμα να μην δημοσιεύουμε συκοφαντικά ή υβριστικά σχόλια όπου τα εντοπίζουμε. Σε κάθε περίπτωση ο καθένας φέρει την ευθύνη των όσων γράφει και το pronews.gr ουδεμία νομική ή άλλα ευθύνη φέρει.
Δικαίωμα συμμετοχής στη συζήτηση έχουν μόνο όσοι έχουν επιβεβαιώσει το email τους στην υπηρεσία disqus. Εάν δεν έχετε ήδη επιβεβαιώσει το email σας, μπορείτε να ζητήσετε να σας αποσταλεί νέο email επιβεβαίωσης από το disqus.com
Όποιος χρήστης της πλατφόρμας του disqus.com ενδιαφέρεται να αναλάβει διαχείριση (moderating) των σχολίων στα άρθρα του pronews.gr σε εθελοντική βάση, μπορεί να στείλει τα στοιχεία του και στοιχεία επικοινωνίας στο [email protected] και θα εξεταστεί άμεσα η υποψηφιότητά του.