Джеймс Мартиндейл (известный в сети исследователь) сообщил об обнаружении нового способа легкой кражи аккаунтов Facebook. Схема использует функцию восстановления аккаунта (работает стандартно) и старый номер владельца. С такой проблемой сталкиваются многие сервисы – старые телефонные номера, проданные сотовым оператором другим пользователям, остаются привязанными к учетной записи. Новый владелец номера может без проблем сменить пароль от аккаунта. Конечно, проблема не позволяет выбрать аккаунт для взлома, однако легкость получения доступа не стоит оставлять без внимания.
Представители Facebook уже отреагировали на сообщение. Они считают, что эта особенность не является багом. При этом многие онлайн-сервисы позволяют использовать привязанные сотовые номера для восстановления доступа. Однако специалисты отметили, что только Facebook позволяет указывать в аккаунте несколько телефонов.
Исследователь обнаружил данную особенность случайно, после приобретения номера, который ранее другой абонент использовал в учетной записи Facebook. Причем социальная сеть сама «выдала» предыдущего владельца, прислав сообщение с предложением вернуться в социальную сеть. Позднее Мартиндейл выяснил, что в параметрах аккаунта были еще пять привязанных номеров. В этом и заключается особенность социального ресурса – сайт позволяет добавлять новые номера, не удаляя при этом старые. Пользователи часто даже не догадываются, что прежний номер необходимо удалить.
Изначально эксперт планировал просто инициировать Facebook принудительный сброс пароля. Однако сервис авторизовал пользователя, даже не меняя пароль. При этом защитные механизмы не активировались – обычно сайты фиксируют подозрительные попытки входа, присылая оповещение, например, на почту.
Исследователь считает, что специалистам Facebook необходимо доработать защитные механизмы, используемые на сайте. К примеру, необходимо сразу уведомлять пользователей о важности удаления старого номера после добавления нового. Также не стоит разрешать восстановление аккаунтов без отправки уведомлений на все указанные контакты. Это позволит пользователям оперативно отреагировать на подозрительную активность в профиле.
Представители Facebook уже отреагировали на сообщение. Они считают, что эта особенность не является багом. При этом многие онлайн-сервисы позволяют использовать привязанные сотовые номера для восстановления доступа. Однако специалисты отметили, что только Facebook позволяет указывать в аккаунте несколько телефонов.
Исследователь обнаружил данную особенность случайно, после приобретения номера, который ранее другой абонент использовал в учетной записи Facebook. Причем социальная сеть сама «выдала» предыдущего владельца, прислав сообщение с предложением вернуться в социальную сеть. Позднее Мартиндейл выяснил, что в параметрах аккаунта были еще пять привязанных номеров. В этом и заключается особенность социального ресурса – сайт позволяет добавлять новые номера, не удаляя при этом старые. Пользователи часто даже не догадываются, что прежний номер необходимо удалить.
Изначально эксперт планировал просто инициировать Facebook принудительный сброс пароля. Однако сервис авторизовал пользователя, даже не меняя пароль. При этом защитные механизмы не активировались – обычно сайты фиксируют подозрительные попытки входа, присылая оповещение, например, на почту.
Исследователь считает, что специалистам Facebook необходимо доработать защитные механизмы, используемые на сайте. К примеру, необходимо сразу уведомлять пользователей о важности удаления старого номера после добавления нового. Также не стоит разрешать восстановление аккаунтов без отправки уведомлений на все указанные контакты. Это позволит пользователям оперативно отреагировать на подозрительную активность в профиле.
