Taloussanomat

Hakkeri: "Minulla oli kyky murtaa kaikki Facebook-tilit"

Kuva: © Rick Wilking / Reuters

8.3.2016 16:06 Intialainen tietoturvatutkija osoitti Facebookille haavoittuvuuden, joka mahdollisti tilien yksinkertaisen murtamisen väkipakolla.

Hakkeri Anand Prakash kertoo löydöksestään blogikirjoituksessa. Hänen mukaansa kyseessä oli "yksinkertainen haavoittuvuus, jonka avulla olisi ollut mahdollista murtautua toisten Facebook-käyttäjien tileille helposti ja ilman käyttäjän vuorovaikutusta".

Prakash käytti hyväkseen Facebookin toimintoa, joka on tarkoitettu auttamaan käyttäjää salasanan unohtuessa. Salasanan voi nollata puhelinnumeron tai sähköpostiosoitteen avulla, jolloin Facebook lähettää kuuden merkin pituisen koodin kännykkään tai sähköpostiin uuden salasanan asettamiseksi.

Normaalisti Facebook sallii vain rajatun määrän yrityksiä syöttää varmistuskoodi. Mutta Anand Prakash huomasi, että Facebookin kahdella sivustolla beta.facebook.com ja mbasic.beta.facebook.com tätä varmistusta ei ollut. Näiden sivujen kautta hänen oli mahdollista syöttää rajattomasti varmistuskoodeja, kunnes oikea selvisi brute force -hyökkäyksellä.

Hakkeri todisti ongelman hyökkäämällä omaa tiliään vastaan. Hänen onnistui lukita itsensä ulos ja luoda tilille uusi salasana. Tällä konstilla olisi voinut katsella vieraiden käyttäjien viestejä, luottokorttitietoja, henkilökohtaisia valokuvia ja muita tietoja.

Prakash julkaisi myös videon, jossa hän hahmottaa potentiaalista hyökkäystä.

Myös Facebook tunnusti asian vakavuuden maksamalla Prakashille 15 000 dollarin palkkion haavoittuvuuden raportoimisesta.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (13)

Sivut: 1 2
EdellinenSeuraava

Anonyymi
Ihmiset ovat äärettömän tyhmiä paitsi ainstain. Kaikki tieto verkossa on haettavissa. Tämäkin. Siksi tallennan kaikki tiedot omaan pilveen. Ainstainiin. Kaupallisiin pilviin tallennetut tiedot ovat jonain päivänä hakkereilla, juoksevat nopeammin kuin pilviveikot. Kaikki tietokoneen tiedot ovat varastettavissa.Minunkin. NSA valvoo minunkin nettikeskustelua. Siitä vaan. Saas nähdä, minä päivänä Suomen Valtio luovuttaa minut tuomittavaksi vieraaseen valtioon.
Anonyymi: kuantamoon 8.3.2016 16:57

Anonyymi
Minun nuoruudessani pelattiin kepeillä ja juostiin alasti ulkona. Nykyään kaikki nuoret vain räpläävät näitä tapletteja ja linukseja. Kyllä kaikki oli paremmin vuonna -57!!
Anonyymi: nuoruuskunniaan 8.3.2016 17:19

Anonyymi
Murtakoon vaan, sillä on paljon pahempiakin tapoja päästä salaisien tietojen lähteille, josta on jotain hyötyä ja merkitystä.

Vain tietämätön FB:ssä hölisee tai julkaisee asiaa joka olisi edes noloa, saati tärkeää.

Minun komeita mökkilaiturikuvia( kalansaaliita ) saa tulla kahtomaan vappaasti. Eikä ne luontokuvatkaan huonoja ole. Saa kopsata, kun ne on vesileimalla merkitty, jota niistä ei saa pois vaikka yrittäisi kuinka.
Anonyymi: Verkkoveijari 8.3.2016 18:27

Anonyymi
Ei ole paljon muuttunut vuodesta -57. Nykyää tabletteja tapletteja ohjataan kepeillä ja homma hoidetaan alasti.
Anonyymi: LoveAndHappines 8.3.2016 18:32

Anonyymi
Oliko tämä uutinen. Poikani oli aikoinaan työharjoittelussa työpaikallani ja näytösluontoisesti murtautui kaikkien facetileille jotka kertoivat millä nimellä tili oli. Eli omalla nimellä faceen liittyminen on hulluutta. Vaikka face sitä yrittääkin rajoittaa.
Anonyymi: Kaleiiiii 8.3.2016 23:48

Anonyymi
"Normaalisti Facebook sallii vain rajatun määrän yrityksiä syöttää varmistuskoodi. Mutta Anand Prakash huomasi, että Facebookin kahdella sivustolla beta.facebook.com ja mbasic.beta.facebook.com tätä varmistusta ei ollut. Näiden sivujen kautta hänen oli mahdollista syöttää rajattomasti varmistuskoodeja, kunnes oikea selvisi brute force -hyökkäyksellä."

Mitähän tämä nyt siis tarkoittaa? Beta-sivustoilla voi yrittää syöttää salasanan rajattoman monta kertaa. Eli niihin pystyy murtautumaan kunhan vaan kokeilee riittävän montaa salasanaa!!!
Sen sijaan oikeassa Facebookissa tili lukittuu kun väärää salasanaa kokeilee riittävän monta kertaa.

No, niin kauan kun amerikkalaiset näitä väsää ongelmat jatkuvat. Nyt on Googlellakin ymmärretty palkata suomalaisia. Toki Suomi on pieni maa ja osaajia ei riitä joka projektiin. Jolla olisi kyllä paras...
Anonyymi: Amerikkalaistapaxkaa 9.3.2016 0:03

Anonyymi
"Normaalisti Facebook sallii vain rajatun määrän yrityksiä syöttää varmistuskoodi. Mutta Anand Prakash huomasi, että Facebookin kahdella sivustolla beta.facebook.com ja mbasic.beta.facebook.com tätä varmistusta ei ollut. Näiden sivujen kautta hänen oli mahdollista syöttää rajattomasti varmistuskoodeja, kunnes oikea selvisi brute force -hyökkäyksellä."

Mitähän tämä nyt siis tarkoittaa? Beta-sivustoilla voi yrittää syöttää salasanan rajattoman monta kertaa. Eli niihin pystyy murtautumaan kunhan vaan kokeilee riittävän montaa salasanaa!!!
Sen sijaan oikeassa Facebookissa tili lukittuu kun väärää salasanaa kokeilee riittävän monta kertaa.

No, niin kauan kun amerikkalaiset näitä väsää ongelmat jatkuvat. Nyt on Googlellakin ymmärretty palkata suomalaisia. Toki Suomi on pieni maa ja osaajia ei riitä joka projektiin. Jolla olisi kyllä paras...
Mikä tuossa tekstissä muka meni sinulla yli ymmärryksen?
Anonyymi: gggggg 9.3.2016 6:22

Anonyymi
"Normaalisti Facebook sallii vain rajatun määrän yrityksiä syöttää varmistuskoodi. Mutta Anand Prakash huomasi, että Facebookin kahdella sivustolla beta.facebook.com ja mbasic.beta.facebook.com tätä varmistusta ei ollut. Näiden sivujen kautta hänen oli mahdollista syöttää rajattomasti varmistuskoodeja, kunnes oikea selvisi brute force -hyökkäyksellä."

Mitähän tämä nyt siis tarkoittaa? Beta-sivustoilla voi yrittää syöttää salasanan rajattoman monta kertaa. Eli niihin pystyy murtautumaan kunhan vaan kokeilee riittävän montaa salasanaa!!!
Sen sijaan oikeassa Facebookissa tili lukittuu kun väärää salasanaa kokeilee riittävän monta kertaa.


6-merkkisiä varmistuskoodeja on paljon vähemmän kuin salasanoja.
Anonyymi: abcdef 9.3.2016 8:36

Anonyymi
Murtakoon vaan, sillä on paljon pahempiakin tapoja päästä salaisien tietojen lähteille, josta on jotain hyötyä ja merkitystä.

Vain tietämätön FB:ssä hölisee tai julkaisee asiaa joka olisi edes noloa, saati tärkeää.

Minun komeita mökkilaiturikuvia( kalansaaliita ) saa tulla kahtomaan vappaasti. Eikä ne luontokuvatkaan huonoja ole. Saa kopsata, kun ne on vesileimalla merkitty, jota niistä ei saa pois vaikka yrittäisi kuinka.
Verkkoveijari

Kyllä ne vesileimat lähtee kuvasta kun vähänkään osaa hommaansa.
Varsinkin jos tallennat kuvat sellaisenaan faceen. Muokkaamalla tiedostotyyppiä, pakkaamalla kuvakokoa, kopioimalla ja tallentamalla pelkkä näyttökuva, (ei siis kuvatiedostoa) voit vaikeuttaa tehtävää, mutta silloinkin joku onnistuu siinä..
Anonyymi: Rapparix 9.3.2016 11:36

Anonyymi
Murtakoon vaan, sillä on paljon pahempiakin tapoja päästä salaisien tietojen lähteille, josta on jotain hyötyä ja merkitystä.

Vain tietämätön FB:ssä hölisee tai julkaisee asiaa joka olisi edes noloa, saati tärkeää.

Minun komeita mökkilaiturikuvia( kalansaaliita ) saa tulla kahtomaan vappaasti. Eikä ne luontokuvatkaan huonoja ole. Saa kopsata, kun ne on vesileimalla merkitty, jota niistä ei saa pois vaikka yrittäisi kuinka.


Juuri tällaisia idiootteja netissä huijataan päivittäin, näiltä viedään identiteetti, pankkitunnukset ja luottokorttinumerot koska nämä uunot luulevat ettei heillä ole mitään salattavaa.
Anonyymi: Säälittävää 9.3.2016 13:01
Sivut: 1 2
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday


2013

Kolme vuotta sitten

Google julkaisi tv-mokkulan

25.07.2013 Google palasi televisiomarkkinoille keskiviikkona julkistamalla vain 35 dollaria maksavan mokkulan. Sen myynti Yhdysvalloissa alkaa välittömästi.

.