Bug-ul de Facebook care permitea resetarea parolei oricărui utilizator

Un expert în securitate independent a descoperit o metodă simplă care permitea resetarea parolei de acces pentru orice cont Facebook. În urma atacului parola este schimbată, preluând efectiv controlul asupra contului respectiv.

Răsplătit cu suma de 13600 euro, bug-ul semnalat în timp util a putut fi remediat înainte ca vulnerabilitatea să poată fi exploatată în scop distructiv. Cât despre calea de abordare, aceasta este o formă rudimentară de atac brute-force, vizând formularul pentru recuperarea parolei şi nu website-ul Facebook, care este protejat împotriva acestui tip de atac.

De fiecare dată când un utilizator uită parola pentru contul de Facebook este direcţionat către un formular unde furnizează adresa contului email sau numărul de telefon asociat contului de utilizator. Mai departe, utilizatorul primeşte prin SMS un cod de 6 cifre pe care îl poate folosi pentru resetarea parolei. În mod normal, dacă furnizăm codul greşit suntem blocaţi din sistem după 10-12 încercări. Însă acest mecanism de protecţie funcţiona corect doar din interfaţa web oficială, nu şi platforma Facebook beta (beta.facebook.com), folosită pentru testarea majorităţii funcţiilor nou dezvoltate înainte de lansarea pentru toţi utilizatorii.

Folosind un simplu program de atac brute-force, cercetătorul Anand Prakash a reuşit să forţeze resetarea parolei de utilizator în doar câteva secunde, operaţiunea putând fi repetată oricând, pentru orice cont de utilizator.

Din fericire, problema semnalată în data de 22 februarie a fost corectată în regim de urgenţă chiar în ziua următoare, însă nu înainte ca vulnerabilitatea să poată fi demonstrată într-un filmuleţ explicativ.