Firma Meta przyznała się do poważnego problemu w zabezpieczeniach Facebooka. Gigant nie widzi jednak powodu, by cokolwiek z tym robić.
Jeśli kiedykolwiek zdarzyło się Wam zapomnieć hasła do któregokolwiek z portali internetowych, pewnie zdążyliście zauważyć, że w większości przypadków do jego odzyskania wystarczy jedna wiadomość wysłana na adres e-mail lub numer telefonu przypisany do danego konta. Problem jednak w tym, że o ile raz zarezerwowany adres e-mail zostaje przypisany do jednej osoby na długie lata, o tyle numery telefonów rotują. Jeśli jakiś zostanie porzucony, może on trafić do kolejnego użytkownika nawet po kilku miesiącach.
Okazuje się - choć nie powinno to być większym zaskoczeniem - że po odziedziczeniu w ten sposób numeru telefonu można uzyskać dostęp do kont internetowych, pod które był podpięty. Zwykle potrzebna jest do tego znajomość co najmniej loginu lub adresu e-mail osoby, na której konto próbujemy się dostać, ale nie zawsze. Przykładowo na Facebooku i innych usługach należących do Mety loginem może być... numer telefonu.
W efekcie jeśli ktoś odziedziczy w ten sposób numer telefonu, może zalogować się na konto, ominąć dwuskładnikowe uwierzytelnianie i zmienić hasło. Jeśli właściciel konta nie zareaguje w porę, straci do niego dostęp.
Na opisany problem zwrócił uwagę Alexander Hanff, ekspert ds. cyberbezpieczeństwa. Podatność została zgłoszona firmie Meta, która... zignorowała problem. W odpowiedzi badacz dowiedział się, że choć korporacja zdaje sobie sprawę z problemu i potencjalnego ryzyka, jakie niesie ze sobą recykling numerów telefonu, nie poczuwa się do odpowiedzialności, by cokolwiek z tym zrobić. Zdaniem przedstawicieli Mety rozwiązanie problemu leży w gestii operatorów zarządzających przydzielaniem numerów telefonów, oraz użytkowników, którzy po utracie danego numeru powinni natychmiast odpiąć go od swojego konta.
Mówiąc krótko, choć system logowania na Facebooka pozwala na nadużycia, Meta nie widzi powodu, by cokolwiek z tym fantem zrobić. Hanff nie utrzymał również nagrody za wykrycie podatności w ramach prowadzonego przez firmę programu bug bounty.
Oczywiście Facebook nie jest jedynym serwisem, gdzie w podobny sposób można przejąć czyjeś konto. Lekcją dla nas powinno być w tym wszystkim to, żeby odpinać od kont stare adresy e-mail i numery telefonów. Warto także pomyśleć o skorzystaniu z aplikacji do dwuskładnikowego uwierzytelniania (np. Google Authenticator albo Microsoft Authenticator). Jeśli sami nie zadbamy o swoje bezpieczeństwo, nikt inny za nas tego nie zrobi.
Zobacz: Dostałeś taką wiadomość na Facebooku? Koniecznie ją zignoruj
Zobacz: Użytkownicy Facebooka zagrożeni. Po platformie krąży wirus
Źródło zdjęć: DenPhotos / Shutterstock.com
Źródło tekstu: The Register