Otkriven propust koji omogućava hakovanje Facebook šifre

Izvor: Piplmetar.rs, 01.Feb.2023, 09:32

Otkriven propust koji omogućava hakovanje Facebook šifre


Analitičar bezbednosti u sajber svetu poznat po nadimku GTM Manoz shvatio je da inženjeri kompanije Meta nisu jasno definisali broj pokušaja unošenja koda prilikom dvofaktorske autentifikacije. Ovakav bezbednosni postupak upotrebljava se prilikom prijave korisnika u okviru novog Meta Accounts centra. Inicijalni cilj novog servisa bio je povezivanje jedinstvenih naloga na društvenim mrežama Fb i Instagram.
Hakeru je za prevaru dovoljno da zna broj telefona žrtve. Broj >> Pročitaj celu vest na sajtu Piplmetar.rs << se unosi u predviđeno polje koje se nalazi u okviru Meta Accounts centra, a potom ga haker povezuje sa sopstvenim Fb nalogom. Zatim pokušava da dobije pristup nasumičnim upisom koda za dvostruku autentifikaciju. Ovaj korak u obmani je ključan, jer Meta inženjeri nisu ograničili broj pokušaja upisa koda koje bi haker mogao napraviti.
Šta je potrebno hakeru da bi preoteo profil? Kada haker pogodi validni kod (bez obzira koliko ovaj postupak može trajati), telefon žrtve je povezan sa Fb nalogom napadača. Meta će tada obavestiti oštećenog korisnika da je dvostruka autentifikacija nemoguća, jer je broj telefona korisnika povezan sa tuđim nalogom. Kasniji rasplet događaja može biti veoma neizvestan, jer korisnik više nema kontrolu nad svojim profilom, piše TechCrunch.
„U suštini, glavni korak u hakovanju naloga bio je raskid veze između broja telefona i Fb naloga zasnovan na dvofaktorskoj autentifikaciji“, objašnjava Manoz.
Posle uspešnog izvođenja glavnog koraka, napadač bi mogao da preuzme nalog žrtve fišingom, pri čemu bi prevarom naterao korisnika da otkrije lozinku. Tada bi profil prevarenog Fb korisnika potpuno došao u posed hakera.

Meta ceni upozorenja o hakerskim trikovima Fb se tokom proteklih godina suočavao sa sličnim problemima. Manoz je grešku Meta Accounts centra pronašao prošle godine, da bi je prijavio kompaniji sredinom septembra. Inženjeri su ispravili propust nekoliko dana kasnije i platili Manozu 27.200 dolara, jer je ukazao na ozbiljan bezbednosni scenario. Ova suma je daleko manja od potencijalne ucene koje svakodnevno dobijaju najmoćnije kompanije na svetu.
Portparolka kompanije Gebi Kurtis kaže da je tokom kritičnog perioda, sistem prijavljivanja bio u fazi javnog testiranja. Kurtis dodaje i da Metina istraga posle otkrivanja baga odbacuje dokaze o masovnom hakovanju naloga, što dalje upućuje da propust sa dvostrukom autentifikacijom nije kompromitovao korisnike. Njene reči se mogu protumačiti kao dobro upakovani krizni PR, ali sigurno je da će zlonamerni korisnici i dalje isprobavati različite načine za hakovanje naloga na društvenim mrežama.
Opširnije
Izvor: Benchmark.rs

Pogledaj vesti o: Facebook

Nastavak na Piplmetar.rs...






Napomena: Ova vest je automatizovano (softverski) preuzeta sa sajta Piplmetar.rs. Nije preneta ručno, niti proverena od strane uredništva portala "Vesti.rs", već je preneta automatski, računajući na savesnost i dobru nameru sajta Piplmetar.rs. Ukoliko vest (članak) sadrži netačne navode, vređa nekog, ili krši nečija autorska prava - molimo Vas da nas o tome ODMAH obavestite obavestite kako bismo uklonili sporni sadržaj.