Μια απίστευτη αδυναμία ανακάλυψε ανεξάρτητος ερευνητής στην ιστοσελίδα του Facebook, η οποία εξέθετε το σύνολο των χρηστών και τα δεδομένα τους! Μάλιστα η εκτέλεση της αδυναμίας είναι τόσο απλή, όσο να αλλάζατε password στην γνωστή ιστοσελίδα κοινωνικής δικτύωσης (!)
Συγκεκριμένα πρίν από μερικές ημέρες ο ανεξάρτητος ερευνητής ασφάλειας Sow Ching Shiong, ενημέρωσε μέσω του blog του την ομάδα ασφάλειας του Facebook, ότι με μια εξαιρετικά απλή μεθοδολογία είχε την δυνατότητα αλλαγής οποιουδήποτε κωδικού επίθυμεί (!) χωρίς να γνωρίζει τον προγενέστερο κωδικό πρόσβασης παρα μόνο το όνομα (λογαριασμό) του χρήστη.
To Facebook μέσω της ιστοσελίδας https://www.facebook.com/hacked , δίνει την δυνατότητα στους χρήστες του, να επανακτήσουν τον λογαριασμό τους σε περίπτωση που πέσουν θύμα hacking, ζητώντας τους να αλλάξουν τον κωδικό μέσα από την συγκεκριμένη φόρμα.
H ανωτέρω ιστοσελίδα κατά την διαδικασία εισαγωγής των απαραίτητων στοιχείων, ανακατευθύνει σε μία άλλη ιστοσελίδα δηλαδή εδώ https://www.facebook.com/checkpoint/checkpointme?f=[userid]&r=web_hacked.
Ο ερευνητής παρατήρησε ότι το URL της παραπάνω ιστοσελίδας περιέχει μια παράμετρο καλούμενη “f” η οποία αντιπροσωπεύει το userID. Αντικαθιστώντας την συγκεκριμένη παράμετρο του userID με το userID ενός υποψήφιου θύματος, η ιστοσελίδα του επέτρεπε να προχωρήσει στην επόμενη φάση της διαδικασίας όπου ο επιτιθέμενος είχε την δυνατότητα να αλλάξει τον κωδικό του υποψήφιου θύματος χωρίς να γνωρίζει τον προγενέστερο κωδικό ή να του ζητήσει κάποια επιπρόσθετη επιβεβαιώση!!!
Η απόδειξη της αδυναμίας ήταν εξαιρετικά εύκολη στην εκτέλεση της. Η ομάδα ασφαλείας του Facebook επιδιόρθωσε σε χρόνο ΡΕΚΟΡ το εύρημα του ερευνητή, αναρτώντας παράλληλα και το όνομά του στον κατάλογο των whitehat hackers - επιβεβαιωμένων ερευνητών ασφάλειας, που με την κοινοποίηση των ευρημάτων τους, συνεχίζουν να ενδυναμώνουν καθημερινά την ασφάλεια του κοινωνικού δικτύου.
