En sikkerheds-forsker hævder at have spottet en fejl i Facebook konto recovery-funktion, der kan lade nogen let at bryde ind på din konto – der også, uden du nogensinde opdager det, medier rapporterede på fredag. Ifølge en rapport i the Independent, “der er ikke behov for adgangskode for at få adgang til og svindlere kan også låse dig ud af din egen konto”.
Den opdagelse blev gjort af den 18-årige James M., når han indsættes et nyt SIM-kort ind i hans telefon.
Martindale hurtigt har modtaget en besked fra Facebook meddelte ham, at “han ikke havde logget ind på sin konto i et stykke tid, på trods af ikke at have bundet det nye nummer til hans konto”, siger rapporten.
Han søgte efter nummeret på Facebook, som bragt op en enkelt konto.
Martindale derefter forsøgt at logge ind på den konto, ved hjælp af det nummer som brugernavn, og skrive i et tilfældigt password, men det mislykkedes, fordi den adgangskode, han indtastede var forkert.
Han klikkede på “Glemt Adgangskode” – funktionen for at genvinde sin konto, men heller ikke denne gang.
M. søgte efter den konto med det nye nummer, og fandt en liste af valgmuligheder for kontogendannelse — bestående af en e-mail-adresse og seks telefon numre – for at genvinde adgang til kontoen.
“En af disse muligheder var for Facebook til tekst et password reset kode for meget antallet Martindale havde lige prøvet at logge ind med,” hedder det i rapporten.
Efter at vælge den indstilling, han har modtaget koden og logget ind i den ‘person ‘ s’ konto.
“Facebook gav ham mulighed for at ændre den adgangskode, der ville have låst fast bruger ud af deres konto, eller for at springe denne fase, hvilket betyder, at han aldrig ville have vidst, at hans konto var blevet hacket,” rapporten påpegede.
Martindale udført det samme trick med et andet nyt nummer, og det resulterede det samme. Men når Martindale påpegede fejl, at Facebook, fik han at vide, at det bare var en “bekymring”.
Her er Facebook ‘ s samlede reaktion, som citeret af Martindale:
“Der er situationer, hvor telefonnumre udløber, og stilles til rådighed for andre end den oprindelige ejer. For eksempel, hvis en række er en ny ejer, og de bruger det til at logge ind på Facebook, kan det udløse en Facebook nulstilling af adgangskode. Hvis dette tal er stadig forbundet med en brugers Facebook-konto, har den person, der har nu med, at antallet kunne derefter overtage den konto.”
“Mens det er en bekymring, dette er ikke anses for en fejl, for bug bounty program. Facebook har ikke kontrol over telecom udbydere, der genudgivelse telefonnumre eller med brugere, der har et telefonnummer, der er knyttet til deres Facebook-konto, der ikke længere er registreret til dem.”
Skrevet med input fra IANS