Luka na Facebooku: Przejęcie konta proste jak nigdy
O ironio, próba poprawy bezpieczeństwa Facebooka zakończyła się stworzeniem nowej możliwości dla napastników. Podczas prac nad systemem, który pozwoli odzyskać kontrolę nad własnym kontem w razie ataku, specjaliści wykreowali nową lukę, która mogła zostać wykorzystana do zresetowania hasła bez znajomości starego. Usterka została zgłoszona do Facebooka i unieszkodliwiona.
Problem został odkryty i udokumentowany na blogu przez Sow Ching Shiong. Wystarczy, że zalogowany użytkownik odwiedzi stronę https://www.facebook.com/hacked, która powstała z myślą o użytkownikach, korzystających z portalu w aktywnej sesji, ale przekonanych, że ich konto zostało przejęte. Zalogowany użytkownik zostaje wówczas przekierowany na https://www.facebook.com/checkpoint/checkpointme?f=[userid]&r=web_hacked. Klikając przycisk "Dalej", zostanie poproszony o podanie nowego hasła. Niestety, w przeciwieństwie do zaleceń, tzw. najlepszych praktyk, formularz nie żądał podania starego hasła.
Ching Shiong przedstawił redaktorom Heise możliwości trzech scenariuszy wykorzystania luki. Lokalny atak - gdy użytkownik zapomniał zablokować komputer lub laptop i aby wprowadzić nowe hasło, napastnik musiał po prostu wejść na stronę "Hacked". Atak wewnętrzny - gdy atakujący zdobędzie identyfikator sesji użytkownika - istnieje możliwość przechwycenia sesji. Wreszcie zewnętrzny atak, który mógł wykorzystać tę lukę XSS celem przejęcia identyfikatora sesji. Po interwencji specjalisty Facebook dokonał zmian w serwisie. Przed przejściem na stronę /hacked, zostajemy poproszeni o wpisanie starego hasła.
