En säkerhet forskare hävdar att de har upptäckt en brist i Facebook-konto recovery funktion som kan låta någon lätt bryta sig in på ditt konto – det också, utan att du någonsin märker det, medier rapporterade på fredagen. Enligt en rapport i den Oberoende, “det finns inget behov av lösenord för att få tillgång och bedragare kan också låsa ut dig ur ditt eget konto”.
Upptäckten gjordes av 18-åriga James Martindale när han förde in ett nytt SIM-kort i sin mobiltelefon.
Martindale snabbt fått ett meddelande från Facebook för att informera honom att “han hade inte loggat in på sitt konto ett tag, trots att jag inte hade knutit nya nummer till hans konto”, står det i rapporten.
Han sökte sedan efter numret på Facebook som förde upp ett enda konto.
Martindale sedan försökt logga in på kontot genom att använda de antal som användarnamn och skriva in ett slumpmässigt lösenord men misslyckades på grund av lösenord han angav var fel.
Han klickade på “Glömt Lösenord” – alternativet för att återställa sitt konto men misslyckades igen.
Martindale sökte för kontot med det nya numret och hittade en lista över alternativ för kontoåterställning — bestående av en e-postadress och sex telefonnummer – för att återfå tillgång till kontot.
“Ett av dessa alternativ var för Facebook att sms: a en kod för att återställa lösenordet mycket antalet Martindale hade bara försökt att logga in med,” enligt rapporten.
Efter att ha valt alternativet, han fick koden och loggat in på “person” – konto.
“Facebook och sedan gav honom möjlighet att ändra lösenord, som skulle ha låst den verkliga användaren ut ur deras konto, eller att hoppa över detta stadium, vilket innebär att han aldrig skulle ha känt till hans konto hade blivit hackad,” påpekade i rapporten.
Martindale gjort samma trick med ett nytt nummer och det resulterade samma. Men när Martindale påpekade felet till Facebook, han sa att det bara var en “oro”.
Här är Facebook är hela svaret, som citeras av Martindale:
“Det finns situationer där telefonnummer att gälla och görs tillgängliga för någon annan än den ursprungliga ägaren. Till exempel, om en rad har ny ägare och de använda det för att logga in på Facebook, det kan utlösa en Facebook återställning av lösenord. Om att antalet är fortfarande förknippat med en användares Facebook-konto, den person som nu har det numret kunde sedan ta över kontot.”
“Trots att detta är ett problem, detta anses inte vara ett fel för bug bounty program. Facebook inte har kontroll över telekomleverantörer som nytt telefonnummer eller med användare med ett telefonnummer kopplat till deras Facebook-konto som inte längre är registrerad för dem.”
Skrivet med ingångar från IANS