Исследователь Джеймс Мартиндейл (James Martindale) опубликовал в своем блоге интересный материал, озаглавленный: «Я вроде бы взломал пару аккаунтов Facebook, используя уязвимость, которую они не собираются исправлять». Мартиндейл действительно нашел способ перехвата управления над чужой учетной записью Facebook. Сделать это можно посредством функции восстановления аккаунта и старого телефонного номера владельца.

Проблема заключается в том, что старые телефонные номера, более не принадлежащие владельцам учетных записей, все равно остаются привязаны к аккаунтам Facebook. По сути, новый владелец телефонного номера может без каких-либо проблем войти в чужой аккаунт, без использования пароля, а при желании может и вовсе сменить пароль на новый. Конечно, проблема не позволяет устраивать направленные атаки на конкретные учетные записи, однако даже это не умаляет ее критичности.

Исследователь связался с разработчиками Facebook, но ему ответили, что эта проблема не является багом. После этого ситуацией заинтересовались журналисты издания The Register, которые тоже связались с представителями Facebook и попросили их разъяснить, почему компания допускает подобное. Представители социальной сети сообщили, что «многие онлайновые сервисы позволяют людям использовать телефонные номера для восстановления [доступа] к аккаунтам. Мы призываем пользователей добавлять в список только актуальные телефонные номера, и если мы замечаем «подозрительную» попытку восстановления пароля, то можем запросить больше информации о пользователе».

Мартиндейл, в свою очередь, пишет, что представители Facebook не понимают или намеренно игнорируют самую суть проблемы. Дело в том, что, в отличие от других сетевых сервисов, Facebook позволяет пользователям привязывать к аккаунту сразу несколько телефонных номеров.

Сам исследователь обнаружил эту особенность совершенно случайно, когда оказалось, что новый номер его мобильного телефона ранее уже был связан с чьей-то учетной записью Facebook. Причем предыдущего владельца номера «скомпрометировала» сама социальная сеть. Facebook прислала на номер исследователя текстовое сообщение, в котором неактивному пользователю Facebook предлагали вернуться к использованию сервиса. Хуже того, вскоре Мартиндейл выяснил, что к той же учетной записи были привязаны еще пять других телефонных номеров.

Проблема состоит в том, что Facebook позволяет добавить к аккаунту новый телефонный номер, при этом не удаляя предыдущий, поэтому многие пользователи даже не догадываются о том, что старый номер вообще нужно удалять.

«Когда я начал свой эксперимент, я рассчитывал, что дойду до того момента, когда заставляю Facebook осуществить принудительный сброс пароля, а затем остановлюсь. Facebook удивил меня, позволив мне залогиниться, ничего не меняя. Я не знаю ни одного другого сайта, кроме Facebook, который позволил бы мне восстановить аккаунт при помощи телефонного номера, но без смены пароля», — рассказывает исследователь.

Мартиндейл пишет, что он проверил на «привязку к Facebook» множество телефонных номеров и часто ему везло, он обнаруживал и другие уязвимые аккаунты. При этом исследователь отмечает, что ни разу не сталкивался со срабатыванием защитного механизма, который призван замечать «подозрительные» попытки входа.

Исследователь резюмирует, что Facebook определенно нужно поработать над безопасностью. Как минимум, стоит сразу же уведомлять пользователей о необходимости удаления старого телефонного номера, в случае его смены. Также Мартиндейл отмечает, что «нельзя позволять людям восстанавливать аккаунты, без принудительного сброса пароля и отправки уведомлений на все привязанные к учетной записи email-адреса и номера телефонов. Владельцы аккаунтов должны знать, что их пароли поменялись, чтобы они понимали, что кто-то без их ведома получил доступ к их профилям».

6 комментариев

  1. Themistocles

    19.07.2017 at 09:18

    Фейсбук — это помойка для сбора информации о своих пользователях и продвижения рекламы и управления обществом. Чего ещё от них ожидать

  2. mk-ultra

    24.07.2017 at 11:52

    А на кой нужен неактивный много лет аккаунт? Что с ним делать?

    • john_

      24.07.2017 at 12:22

      В фб не активный много лет аккаунт? Ну как минимум список контактов и переписки. Может что интересного есть.

Оставить мнение