Контакты
Подписка
МЕНЮ
Контакты
Подписка

Исследователь нашел необычный способ "угона" учетных записей Facebook

Исследователь нашел необычный способ "угона" учетных записей Facebook

Исследователь нашел необычный способ "угона" учетных записей Facebook


18.07.2017



Исследователь Джеймс Мартиндейл (James Martindale) опубликовал в своем блоге интересный материал, озаглавленный: "Я вроде бы взломал пару аккаунтов Facebook, используя уязвимость, которую они не собираются исправлять". Мартиндейл действительно нашел способ перехвата управления над чужой учетной записью Facebook. Сделать это можно посредством функции восстановления аккаунта и старого телефонного номера владельца.

Проблема заключается в том, что старые телефонные номера, более не принадлежащие владельцам учетных записей, все равно остаются привязаны к аккаунтам Facebook. По сути, новый владелец телефонного номера может без каких-либо проблем войти в чужой аккаунт, без использования пароля, а при желании может и вовсе сменить пароль на новый. Конечно, проблема не позволяет устраивать направленные атаки на конкретные учетные записи, однако даже это не умаляет ее критичности.

Исследователь связался с разработчиками Facebook, но ему ответили, что эта проблема не является багом. После этого ситуацией заинтересовались журналисты издания The Register, которые тоже связались с представителями Facebook и попросили их разъяснить, почему компания допускает подобное. Представители социальной сети сообщили, что "многие онлайновые сервисы позволяют людям использовать телефонные номера для восстановления [доступа] к аккаунтам. Мы призываем пользователей добавлять в список только актуальные телефонные номера, и если мы замечаем "подозрительную" попытку восстановления пароля, то можем запросить больше информации о пользователе".

Мартиндейл, в свою очередь, пишет, что представители Facebook не понимают или намеренно игнорируют самую суть проблемы. Дело в том, что, в отличие от других сетевых сервисов, Facebook позволяет пользователям привязывать к аккаунту сразу несколько телефонных номеров.

Сам исследователь обнаружил эту особенность совершенно случайно, когда оказалось, что новый номер его мобильного телефона ранее уже был связан с чьей-то учетной записью Facebook. Причем предыдущего владельца номера "скомпрометировала" сама социальная сеть. Facebook прислала на номер исследователя текстовое сообщение, в котором неактивному пользователю Facebook предлагали вернуться к использованию сервиса. Хуже того, вскоре Мартиндейл выяснил, что к той же учетной записи были привязаны еще пять других телефонных номеров.

Проблема состоит в том, что Facebook позволяет добавить к аккаунту новый телефонный номер, при этом не удаляя предыдущий, поэтому многие пользователи даже не догадываются о том, что старый номер вообще нужно удалять.

Сам исследователь обнаружил эту особенность совершенно случайно, когда оказалось, что новый номер его мобильного телефона ранее уже был связан с чьей-то учетной записью Facebook. Причем предыдущего владельца номера "скомпрометировала" сама социальная сеть. Facebook прислала на номер исследователя текстовое сообщение, в котором неактивному пользователю Facebook предлагали вернуться к использованию сервиса. Хуже того, вскоре Мартиндейл выяснил, что к той же учетной записи были привязаны еще пять других телефонных номеров.

Проблема состоит в том, что Facebook позволяет добавить к аккаунту новый телефонный номер, при этом не удаляя предыдущий, поэтому многие пользователи даже не догадываются о том, что старый номер вообще нужно удалять.

Хакер