حفره امنیتی ریست پسورد فیسبوک

[GHOST]

Prakash, محقق امنیت انفورماتیک مستقل در هندوستان,

اسیب پذیری امنیتی ای در فیسبوک یافته که میتواند برای هک اسان و بدون هیچگونه تعامل کاربر استفاده گردد.

این باگ در ریست رمز عبورهای فیسبوک میباشد.

 مراحل ریست رمز عبور فیسبوک ساده است و کافی است که در صفحه کانکشن ان

در سمت راست بالای صفحه روی “رمز عبور فراموش شده” کلیک شده

و ادرس ایمیل و شماره تلفن و نام کامل و یا نام کاربری مربوط به اکانت وارد شده و سپس روی جستجو کلیک کرد.

در اینزمان یک سری دستورات به کاربر که باید انها را دنبال کند داده میشود.

سپس کاربر یک کد شش رقمی با اس ام اسی به ادرسش دریافت میکند که باید انرا در فرم ریست رمز عبور وارد کند

تا بتواند رمز عبور جدیدی برای خود تعیین نماید.

This is the hidden content, please

• ورود
• یا
• ثبت نام

اما مشکل در این است که برخلاف سایت اصلی facebook.com هیچگونه محدودیتی روی سایت بتای فیسبوک و یا beta.facebook.com و mbasic.beta.facebook.com

که برای کاربرانی است که مایلند قابلیتهای جدید شبکه را تجربه کنند وجود ندارد.

Anand Prakash با استفاده از یک اسکریپت توانسته حمله brute-force روی پلاتفرم تست انجام داده

و همه ترکیبهای ممکن این شش رقم را ازمایش کند.

بعد از ریست رمز عبور پلاتفرم تست وی سپس برای ازمایش انرا در مورد حساب کاربری خود استفاده نموده

و نتیجه موفقیت امیز بوده است.وی میگوید : “این اسیب پذیری, دسترسی کامل من به حساب کاربری سایر کاربران را با تعیین رمز عبوری جدید میسر ساخت. من میتوانستم همه پیامها و اطلاعات مربوط به کارتهای پرداختی ذخیره شده 

در بخش پرداخت و تمام تصاویر خصوصی و غیره انها را ببینم.”

وی سپس انرا روی سایت اصلی استفاده نموده اما بعد از ۱۰/۱۲ رمز عبور غیر معتبر دسترسی بطور خودکار مسدود شده است.

Anand Prakash این باگ را در ۲۲ فوریه به اطلاع فیسبوک رسانده و فیسبوک انرا تائید و فردای همانروز انرا اصلاح کرده است

و ۱۵۰۰۰ دلار پاداش نیز برای این کشف به Anand Prakash پرداخته است.