Újabb komoly biztonsági résre derült fény a Facebookon
2021. április 22. – 19:50
frissítve
Alig pár héttel a Facebook hatalmas, több mint 500 millió felhasználót érintő adatszivárgása után a közösségi oldalt érintő újabb, súlyos biztonsági résről számolt be a Wired. A hét elején bukkant fel egy videó hekkerkörökben, amin egy névtelen kiberbiztonsági szakember egy szoftvert mutat be, amivel ki lehet használni a biztonsági hibát, és rajta keresztül Facebook-profilokhoz tartozó emailcímeket kihalászni – akkor is, ha azok nem nyilvánosak.
Mivel a Facebookra az emailcímünk megadásával regisztrálunk, illetve ezzel is lépünk be, egy profilhoz tartozó cím az első lépés ahhoz, hogy fel lehessen törni a fiókot, azaz illetéktelenül belépni. A második lépés a jelszó, amit sok esetben meglepően könnyű akár találgatós módszerrel, akár más oldalakról kilopott adatbázisokban keresgélve megtalálni. (A harmadik védvonal pedig a kétlépcsős azonosítás, ezt azonban sokan nem kapcsolják be.) A feltört fiókokat általában továbbértékesítik az internetes feketepiacokon, hogy aztán bérlájkolásra vagy spam terjesztésére használják őket. A legértékesebbek azok, amelyeknek nagyobb Facebook-oldalakhoz vagy csoportokhoz van adminisztrátor joguk, vagy hirdetési fiók is van csatolva hozzájuk hitelkártyaadatokkal.
A videó nem csak azt demonstrálja, hogy maga a szoftver működőképes, de a sebességét is: egy nap alatt nagyjából 5 millió címet tud kihekkelni a Facebookról. A Wired (illetve a sztorit eredetileg szállító Ars Technica) nem osztotta meg magát a videót, csak a benne elhangzó narráció szöveges leiratát. Ebben a névtelen hekker azt mondja, a hibáról értesítette a Facebookot is, de a cég nem tartotta elég fontosnak ahhoz, hogy befoltozza a biztonsági rést. A Facebook viszont azt állítja, egyszerűen egy hiba történt a bug bounty programjában (a szoftvervilágban általános kezdeményezés, amiben a hibákat jelentő hekkereknek pénzjutalmat adnak), ezért késlekedtek a hiba befoltozásával, de a cikk megjelenésének idején ez már megtörtént.