Il ricercatore ha pubblicato la spiegazione del metodo e ne ha anche creato un video: in sintesi, si sfruttava la funzione “Ho dimenticato la password” di Facebook che manda all’utente un SMS o una mail che contiene un codice di sei cifre da immettere in Facebook per reimpostare la password e accedere al proprio profilo.
Un aspirante intruso potrebbe in teoria attivare “Ho dimenticato la password” sull’account della vittima e poi tentare tutte le combinazioni possibili delle sei cifre del codice fino a trovarlo, ma Facebook limita il numero di tentativi. Anand Prakash si è accorto, però, che questo limite non c'era nei siti di test (come beta.facebook.com) e quindi era possibile tentare infinite volte fino a trovare il codice per prendere il controllo dell’account e ottenere accesso ai messaggi, ai dati delle carte di credito memorizzate, alle foto personali, eccetera.
Il ricercatore ha segnalato la falla a Facebook, che l’ha chiusa nel giro di un giorno il 23 febbraio scorso e ha ricompensato Prakash con 15.000 dollari.
Fonte: The Hacker News
Nessun commento:
Posta un commento