Οι χάκερ μπορούν να κλέψουν τον λογαριασμό σας στο Facebook με ένα απλό τέχνασμα

Οι χάκερ μπορούν να κλέψουν τον λογαριασμό σας στο Facebook με ένα απλό τέχνασμα – Πώς να προστατευτείτε;

09:36, 02/03/2024

Eρευνητής ασφαλείας προειδοποιεί τους χρήστες του Facebook, καθώς ανακάλυψε ένα τέχνασμα για να αποκτήσει πρόσβαση σε οποιονδήποτε λογαριασμό, εκμεταλλευόμενος τις αδυναμίες του μηχανισμού επαναφοράς κωδικού πρόσβασης του δημοφιλούς social media.<

O Samip Aryal, που είναι κυνηγός bug, ανακάλυψε ότι με την απεγκατάσταση και την επανεγκατάσταση της εφαρμογής Facebook με διαφορετικούς χρήστες μπορούσε να χειραγωγήσει τη ροή επαναφοράς κωδικού πρόσβασης του Facebook για να παραβιάσει τον έλεγχο ταυτότητας, παίρνοντας έτσι τον έλεγχο του λογαριασμού.

Αυτό ήταν δυνατό λόγω διαφόρων αδυναμιών:

ο κωδικός παρέμενε έγκυρος για δύο ολόκληρες ώρες (αρκετός χρόνος για την παραβίαση ενός 6ψήφιου κωδικού).
ο ίδιος κωδικός εστάλη κάθε φορά κατά τη διάρκεια των 2 ωρών.
ο επιτιθέμενος μπορούσε να επιχειρήσει όσους λανθασμένους κωδικούς σύνδεσης χρειαζόταν, επιτρέποντας και πάλι πολλές επιλογές για μια επίθεση ωμής βίας.

Σε μια περίπτωση, η ειδοποίηση επέστρεψε τον κωδικό σε κείμενο, επιτρέποντας στον Aryal να αποκτήσει πρόσβαση στον λογαριασμό με 0 κλικ. Σε μια άλλη περίπτωση, η ειδοποίηση απαιτούσε πάτημα και ο κωδικός εμφανιζόταν σε ξεχωριστή οθόνη.

Χρησιμοποιώντας τον σωστό κωδικό, ο Aryal επανέφερε τον κωδικό πρόσβασης του λογαριασμού και έκλεψε τον λογαριασμό, γεγονός που του επέτρεψε να ορίσει νέο κωδικό πρόσβασης, να απενεργοποιήσει τον έλεγχο ταυτότητας πολλαπλών παραγόντων κ.λπ.

Στην περίπτωση μιας ειδοποίησης που απαιτεί την αλληλεπίδραση του χρήστη, η επίθεση θα ήταν πολύ πιο δύσκολη, αν όχι αδύνατη. Επιπλέον, και στις δύο περιπτώσεις, ο πραγματικός ιδιοκτήτης του λογαριασμού θα έβλεπε τη διαδικασία επαναφοράς του κωδικού πρόσβασης να εξελίσσεται, γεγονός που θα μπορούσε να του δημιουργήσει υποψίες.

Παρ’ όλα αυτά, η ανακάλυψη του Aryal του χάρισε την πρώτη θέση στο hall of fame του bug bounty του Facebook για το 2024. Αυτή ήταν επίσης η πιο ακριβοπληρωμένη αναφορά σφάλματος μέχρι στιγμής, αλλά ο ίδιος αποφεύγει να αποκαλύψει το ποσό που έλαβε.

Πώς να προστατευτείτε;

Αν είστε χρήστης του Facebook, βεβαιωθείτε ότι έχετε ενεργοποιήσει τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να είστε προσεκτικοί με τις μη ζητηθείσες προτροπές επαναφοράς κωδικού πρόσβασης ή με οποιεσδήποτε προτροπές που αφορούν αλλαγές στον λογαριασμό σας.

Αν έχετε αμφιβολίες, ξεκινήστε μόνοι σας τη ροή επαναφοράς κωδικού πρόσβασης, ορίστε έναν εντελώς νέο σύνθετο κωδικό πρόσβασης και αποφύγετε τη χρήση SMS για τον έλεγχο ταυτότητας πολλαπλών παραγόντων. Αντ’ αυτού, χρησιμοποιήστε μια αξιόπιστη εφαρμογή Authenticator.