هکری که روش هک Facebook را آشکار کرد

هکری که روش هک Facebook را آشکار کرد

به گزارش روزنامه Telegraph، یک برنامه‌ریز کامپیوتر روش هک کردن حساب‌های فیس بوک را با استفاده از نرم‌افزارهای نسبتاً ساده فاش کرده است. اسم این فرد Anand Prakash می‌باشد و او یک مهندس امنیت محصول در شرکت Flipkart در هند می‌باشد.
او گفت که قادر بود بدون اسم رمز به‌حساب های فیس‌بوک دسترسی پیدا کند. این کار توسط حملات سایبری “جستجوی فراگیر یا Brute Force” بر روی سایت Facebook انجام شد. این آسیب‌پذیری 1.6 میلیارد کاربر Facebook را در معرض خطر قرار می‌داد و تا دو روز و قبل از کشف و پچ شدن آن وجود داشت.
زمانی که یک کاربر فیس‌بوک اسم رمز خود را گم می‌کند از آنها درخواست می‌شود که آدرس ایمیل، اسم کاربری یا شماره موبایل خود را وارد کنند و سپس یک عدد شش‌رقمی به آنها ارسال می‌گردد که توسط آن در سایت Facebook وارد شوند یا Logon کنند  (تصویر 1). همانند اسم رمزها، فیس‌بوک سعی دارد که اجازه ندهد هکرها این عدد 6 رقمی را حدس بزنند و معمولاً پس از 5 بار حدس اشتباه این پروسه قفل می‌شود.
Prakash اتفاقی کشف کرد که در سایت Beta فیس‌بوک، که توسط توسعه‌دهندگان نرم‌افزاری استفاده می‌گردد اما هرکسی می‌تواند در آن Login کند، چنین محدودیتی وجود نداشت. با استفاده از برنامه Burp Suite او می‌توانست به‌سرعت تمام احتمالات عددی را امتحان کند و کد درست را بیابد. سپس او قادر بود اسم رمز جدیدی را برای کاربر وارد و از تمامی حساب‌های دیگر پروفایل او logout کند. او با login کردن به پروفایل خود این آسیب‌پذیری را به خبرنگار Telegraph نشان داد و به اطلاعات خصوصی مانند پیام‌ها و شماره‌های کارت اعتباری دسترسی پیدا کرد.
این آسیب‌پذیری بسیار راحت اجرا می‌شد و در دسترس همگانی بود. تنها نیاز برای یک هکر داشتن اسم کاربر بود که با یک جستجو در فیس‌بوک قابل پیدا کردن است. این مهندس باوجدان Facebook را از وجود این آسیب‌پذیری آگاه نمود و به او 15000 دلار جایزه داده شد. این آسیب‌پذیری در ماه گذشته اصلاح شد.
پروفسور Alan Woodward، یک کارشناس امنیتی در دانشگاه Surrey انگلستان بیان داشت که سادگی این هک نگران‌کننده است. به‌طورمعمول کسی باید تا امروز آنرا شناسایی و از آن سوءاستفاده می‌کرد. یکی از مسئولین فیس‌بوک بیان داشت که یکی از منافع ارزشمند داشتن برنامه‌های اهدای جوایز برای آسیب‌پذیری‌ها (bug bounty programs)، توان کشف مشکلات قبل از رسیدن کار به مرحله تولید است. ما از Prakash برای گزارش عالی او قدردانی می‌کنیم و به او جایزه تعلق‌گرفته است.

Anand Prakash