En sikkerhet forsker hevder å ha oppdaget en feil i Facebook konto recovery funksjon som kan la noen enkelt å bryte seg inn på din konto – som også, uten at du noen gang å legge merke til, media rapportert på fredag. Ifølge en rapport i the Independent, “det er ingen som trenger passord for å få tilgang til og svindlere kan også låse deg ut av din egen konto”.
Funnet ble gjort ved 18-år gamle James Martindale når han satt inn et nytt SIM-kort inn i telefonen hans.
Martindale raskt fikk en melding fra Facebook informerte ham om at “han ikke hadde logget seg på kontoen for en stund, til tross for ikke å ha bundet den nye nummeret til hans konto”, rapport sa.
Han søkte etter antall på Facebook som førte opp en og samme konto.
Martindale forsøkte å logge deg på kontoen din ved hjelp av nummeret som brukernavn og skrive inn et tilfeldig passord, men mislyktes fordi passordet han inn ble feil.
Han klikket på “Glemt Passord” – funksjonen for å gjenopprette kontoen sin, men mislyktes igjen.
Martindale søkte for kontoen din med den nye nummeret og fant en liste over alternativer for kontogjenoppretting — bestående av en e-postadresse og seks telefonnumre tilbake tilgang til kontoen.
“Ett av disse alternativene var for Facebook til tekst er en kode for tilbakestilling av passord til den aller antall Martindale hadde bare prøvd å logge inn med,” rapporten sa.
Etter å ha valgt alternativ, han mottatt koden, og logget seg inn på ‘person’ s ” – konto.
“Facebook ga ham muligheten til å endre passordet, som ville ha låst den virkelige brukeren ut av kontoen sin, eller å hoppe over det stadiet, noe som betyr at han aldri ville ha kjent sin konto hadde blitt hacket,” rapporten pekte ut.
Martindale utført de samme knep med et nytt nummer, og det resulterte det samme. Imidlertid, når Martindale påpekte feilen til Facebook, ble han fortalt at det var bare en “bekymring”.
Her er Facebook er hele svaret, som sitert av Martindale:
“Det finnes situasjoner der telefonnumre utløper og er gjort tilgjengelige for andre enn den opprinnelige eieren. For eksempel, hvis et nummer har en ny eier, og de bruker det til å logge inn på Facebook, det kan utløse en Facebook for å tilbakestille passord. Dersom tallet er fortsatt forbundet med en bruker Facebook-kontoen din, den personen som nå har det tallet kan da ta over kontoen.”
“Selv om dette er et problem, dette er ikke ansett som en bug for bug bounty programmet. Facebook ikke har kontroll over teleoperatører som ny utstedelse telefonnumre eller med brukere som har et telefonnummer knyttet til deres Facebook-konto som ikke lenger er registrert på dem.”
Skrevet med innganger fra IANS