Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Facebook Facepalm

2013.06.27. 15:38 | buherator | Szólj hozzá!

Sokat gondolkoztam, hogy hogyan adhatnék olyan címet ennek a posztnak, amiben szerepel a "Facebook feltörés" kifejezés, hogy még több féltékenységben örlődő szerencsétlen jöjjön erre, de sajnos nem voltam elég kreatív :(

Szóval Jack 20.000 dollárt zsebelt be egy olyan Facebook hibáért, amin még mindig nem tudok napirendre térni:

Mindenki kedvenc közösségi oldala megengedi, hogy hozzárendeljünk különböző mobil eszközöket, pl. telefonokat a profilunkhoz. Ez úgy megy, hogy az ember bejelentkezés után megadja a telefonszámát a weben, kap SMS-ben egy kódot a megadott számra, amit aztán szépen megad, ugyancsak a web-en, így az NSA a Facebook tudni fogja, hogy az éppen bejelentkezett személy rendelkezik a megadott telefonszámmal. 

Jack barátunk azonban rájött, hogy az SMS-kódot bekérő interfésznek átadásra kerül egy profile_id mező is, amit a felhasználó állíthat be, szerver oldalon pedig nem ellenőrzik , hogy a bejövő profile_id a bejelentkezett felhasználóhoz tartozik-e (ide nem tudok elég felkiáltújelet írni), így bárki fiókjához hozzá lehetett rendelni a saját telónkat. 

Egy regisztrált telefon segítségével pedig az ember remek dolgokat csinálhat, például két-faktorosan autentikálhat, de éppen a jelszavát is megváltoztathatja, méghozzá a régi jelszó ismerete nélkül (elfelejtett jelszó), innentől pedig ugyebár gémóver van. 

Kedves Hölgyeim és Uraim: igen, a Facebooknál is követnek el ekkora szarvashibákat!

(via dnet)

Címkék: bug facebook sms facepalm

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.