Sokat gondolkoztam, hogy hogyan adhatnék olyan címet ennek a posztnak, amiben szerepel a "Facebook feltörés" kifejezés, hogy még több féltékenységben örlődő szerencsétlen jöjjön erre, de sajnos nem voltam elég kreatív :(

Szóval Jack 20.000 dollárt zsebelt be egy olyan Facebook hibáért, amin még mindig nem tudok napirendre térni:

Mindenki kedvenc közösségi oldala megengedi, hogy hozzárendeljünk különböző mobil eszközöket, pl. telefonokat a profilunkhoz. Ez úgy megy, hogy az ember bejelentkezés után megadja a telefonszámát a weben, kap SMS-ben egy kódot a megadott számra, amit aztán szépen megad, ugyancsak a web-en, így az NSA a Facebook tudni fogja, hogy az éppen bejelentkezett személy rendelkezik a megadott telefonszámmal. 

Jack barátunk azonban rájött, hogy az SMS-kódot bekérő interfésznek átadásra kerül egy profile_id mező is, amit a felhasználó állíthat be, szerver oldalon pedig nem ellenőrzik , hogy a bejövő profile_id a bejelentkezett felhasználóhoz tartozik-e (ide nem tudok elég felkiáltújelet írni), így bárki fiókjához hozzá lehetett rendelni a saját telónkat. 

Egy regisztrált telefon segítségével pedig az ember remek dolgokat csinálhat, például két-faktorosan autentikálhat, de éppen a jelszavát is megváltoztathatja, méghozzá a régi jelszó ismerete nélkül (elfelejtett jelszó), innentől pedig ugyebár gémóver van. 

Kedves Hölgyeim és Uraim: igen, a Facebooknál is követnek el ekkora szarvashibákat!

(via dnet)