szerző:

Több mint 4 millió forintot fizetett ki a Facebook annak a biztonsági kutatónak, akinek köszönhetően már nem léphet be bárki bárki más fiókjába.

Amikor valaki visszaállítja (reseteli) saját fiókjának hozzáférését – mert elfelejtette a jelszavát –, a Facebook egy 6 jegyű PIN-kódot küld az előre megadott telefonszámra, ez használható ideiglenesen jelszó helyett. Amikor ezután próbál belépni valaki, akkor 10 alkalommal ronthatja el a 6 jegyű kódot, a Facebook ezután lezárja a fiókot.

A Facebook hibakereső programjának részeként 15 ezer dollárral jutalmazott Anand Prakash rájött, hogy ha a fejlesztők által gyakran használt beta.facebook.com irányból próbál valaki belépni a fenti módon a fiókjába – itt minden fiók elérhető, ami a sima Facebookon –, akkor a rendszer nem fogja kidobni, bárhányszor is próbálkozik.

A rosszindulatú támadók így tehát megtehették, hogy kértek egy fiókvisszaállítást, és bár erről nem ők kapták meg az sms-t, de nem is volt baj: egy algoritmus segítségével viszonylag gyorsan végigpróbálhatták a beta.facebook.com felületen az összes 6 számjegyű kódlehetőséget. És amint bejutottak a fiókba, már ők adhatták meg annak új jelszavát, ilyen módon nem csak valaki összes adatához és üzenetéhez férhettek hozzá, de őt magát ki is zárták a fiókjából.

Prakash még februárban észlelte a hibát, melynek leírását elküldte a Facebooknak. A közösségi oldal üzemeltetői egy napon belül megerősítették neki, hogy valóban létezik a bug, amit addigra ki is javítottak. A bejelentő pedig nyolc nap múlva meg kapta a 15 ezer dollárját.

Ha máskor is tudni szeretne a Facebook dolgairól, lájkolja a HVG Tech rovatának Facebook-oldalát.