Mε το διόλου ευκαταφρόνητο ποσό των 15.000 δολαρίων αντάμειψε το Facebook έναν ανεξάρτητο ερευνητή ασφάλειας, ο οποίος ανακάλυψε μια απλή μέθοδο για την επαναφορά του κωδικού πρόσβασης οποιουδήποτε λογαριασμού.
Η μέθοδος αυτή του επέτρεπε να κάνει reset το password κάθε λογαριασμού, θέτοντας ένα νέο συνθηματικό πρόσβασης και αναλαμβάνοντας αποτελεσματικά τον έλεγχο οποιουδήποτε προφίλ.
O ερευνητής που ανακάλυψε το συγκεκριμένο κενό ασφάλειας και βοήθησε στην επιδιόρθωσή του προτού αυτό αξιοποιηθεί από κακόβουλους παράγοντες είναι ο Anand Prakash, ένας ινδός ερευνητής ασφάλειας.
Όπως ο ίδιος περιγράφει στο blog του, για την αξιοποίηση της ευπάθειας μια απλή επίθεση brute-force στην φόρμα ανάκτησης κωδικού πρόσβασης, και όχι στην κεντρική ιστοσελίδα του Facebοok η οποία προστατεύεται επιτυχώς έναντι τέτοιου είδους αυτοματοποιημένων επιθέσεων, ήταν αρκετή.
Σε περίπτωση που κάποιος χρήστης ξεχάσει τον κωδικό του στο Faceboοk και προκειμένου να αποκτήσει ξανά πρόσβαση στο account του, καλείται να συμπληρώσει μια φόρμα με τον αριθμό τηλεφώνου ή τη διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με το λογαριασμό του στο Facebook.
Στη συνέχεια λαμβάνει ένα εξαψήφιο κωδικό μέσω SMS, τον οποίο θα πρέπει να εισάγει στη συνέχεια στη φόρμα επαναφοράς κωδικού πρόσβασης, προκειμένου να του επιτραπεί η πρόσβαση σε μια σελίδα απ΄όπου μπορεί να αλλάξει τον κωδικό πρόσβασης του λογαριασμού του.
Αν κάποιος προσπαθήσει ποτέ να μαντέψει αυτόν το εξαψήφιο κωδικό στο κεντρικό site του Facebοok (faceboοk.com), θα μπλοκαριστεί μετά από 10 έως 12 ανεπιτυχείς προσπάθειες.
Ωστόσο ο ερευνητής ανακάλυψε ότι δεν ισχύει το ίδιο και για την δοκιμαστική πλατφόρμα του Facebook (beta.faceboοk.com και mbasic.beta.facebοok.com), την πλατφόρμα στην οποία δοκιμάζονται σε πρώτο χρόνο τα περισσότερα από τα χαρακτηριστικά του Facebook προτού κυκλοφορήσουν στην επίσημη πλατφόρμα.
Χρησιμοποιώντας λοιπόν ένα απλό εργαλείο brute-force και μέσω της αξιοποίησης ενός απλού script ο κ. Prakash είχε τη δυνατότητα να δοκιμάσει όλους τους πιθανούς συνδυασμούς μέχρι να μαντέψει τον σωστό εξαψήφιο κωδικό πρόσβασης. To μοναδικό στοιχείο που χρειαζόταν ο ερευνητής για να αποκτήσει πρόσβαση σε οποιοδήποτε account ήταν το email ή ο αριθμός τηλεφώνου του υποψήφιου στόχου.
Ο ερευνητής ανακάλυψε το θέμα στις 22 Φεβρουαρίου, και αφού το ανέφερε υπεύθυνα στο Facebοok, η εταιρεία προχώρησε άμεσα σε επιδιόρθωσή του.
