Poważna luka w zabezpieczeniach ułatwia hakerom atakowanie kont na Facebooku

Ekspert ds. cyberbezpieczeństwa Samip Aryal, który znajduje się na szczycie listy „łowców nagród” Facebooka, właśnie ogłosił informację o luce w zabezpieczeniach tego portalu społecznościowego, umożliwiającej hakerom wykorzystanie kont ofiar. Problem został wykryty i naprawiony 2 lutego, ale został ogłoszony publicznie dopiero miesiąc później (z powodu przepisów bezpieczeństwa).

Według Aryala, luka jest związana z procesem resetowania hasła na Facebooku poprzez opcjonalną funkcję, która wysyła 6-cyfrowy kod uwierzytelniający na inne urządzenie, na którym użytkownik się zalogował lub zarejestrował. Kod ten służy do uwierzytelnienia użytkownika i dokończenia procesu resetowania hasła na nowym urządzeniu (na którym wcześniej nie logowano się).

Podczas analizy zapytań odkrył, że Facebook wysyła stały kod uwierzytelniania (który nie zmienia sekwencji cyfr), ważny przez 2 godziny i nie stosuje żadnych środków bezpieczeństwa zapobiegających atakom typu brute-force, czyli nieautoryzowanemu włamaniu polegającemu na wypróbowywaniu wszystkich możliwych ciągów haseł w celu znalezienia poprawnej sekwencji znaków.

Oznacza to, że w ciągu 2 godzin od wysłania kodu atakujący może wielokrotnie wprowadzić błędny kod aktywacyjny, nie napotykając żadnych środków bezpieczeństwa ze strony systemu Facebooka. Zazwyczaj, jeśli błędny kod lub hasło zostanie wprowadzone więcej niż określona liczba razy, system bezpieczeństwa tymczasowo zawiesi dostęp do logowania dla podejrzanego konta.

Dwie godziny to może niewiele dla przeciętnego człowieka, ale dla hakerów korzystających z narzędzi wsparcia jest to jak najbardziej możliwe.

Atakujący musi znać jedynie nazwę użytkownika docelowego konta, aby móc wysłać prośbę o kod weryfikacyjny. Następnie będzie stosował metodę brute-force przez 2 godziny, aż do momentu, w którym będzie mógł łatwo zresetować nowe hasło, przejąć kontrolę i „wyrzucić” sesje dostępu prawdziwego właściciela, zanim będzie mógł on cokolwiek zrobić.

Pan Vu Ngoc Son, dyrektor ds. technologii w NCS, powiedział, że tego typu atak jest poza zasięgiem możliwości użytkownika i nazywa się atakiem 0-click. W tym typie ataku hakerzy mogą ukraść konto ofiary bez jej udziału.

„Gdy ta luka zostanie wykorzystana, ofiara otrzyma powiadomienie od Facebooka. Dlatego jeśli nagle otrzymasz powiadomienie od Facebooka o odzyskaniu hasła, jest bardzo prawdopodobne, że Twoje konto zostało zaatakowane i przejęte” – powiedział pan Son. Ekspert dodał, że w przypadku luk takich jak ta, o której mowa powyżej, użytkownicy mogą jedynie czekać, aż dostawca załata błąd.

Facebook to popularny portal społecznościowy w wielu krajach na całym świecie , w tym w Wietnamie, a jego użytkownicy publikują i przechowują wiele danych osobowych podczas korzystania z niego. Dlatego hakerzy często próbują atakować i przejmować kontrolę nad kontami na platformie, aby przeprowadzać oszustwa.

Wśród nich najbardziej rozpowszechniona jest forma podszywania się pod ofiarę i kontaktowania się z krewnymi z listy znajomych, aby prosić o przelewy pieniężne w celu defraudacji. Ta metoda, wspierana przez technologię Deepfake do fałszowania rozmów wideo , złapała w pułapkę wiele osób. Aby zbudować większe zaufanie, oszuści kupują i sprzedają również konta bankowe o tym samym imieniu i nazwisku, co właściciel konta na Facebooku, aby z łatwością przeprowadzić oszustwo.

Inną formą jest przejęcie konta i wykorzystanie go do wysyłania linków lub plików zawierających złośliwy kod, rozprzestrzeniających się w sieciach społecznościowych. Te złośliwe kody mają za zadanie atakować i kraść dane osobowe (takie jak numery kont bankowych, zdjęcia, kontakty, wiadomości i wiele innych danych przechowywanych w pamięci urządzenia) po aktywacji na urządzeniu docelowym (urządzeniu używanym przez ofiarę).