Često čujemo da je pretjerano korištenje Facebooka potencijalni sigurnosni rizik. Na takve priče mnogi korisnici niti ne reagiraju. No, što reći kad i sam Facebook potvrdi da je jedan haker otkrio bug koji mu omogućuje da može upasti u bilo koji profil na Facebooku!
Indijcu Anandu Prakashu uspjelo je upravo to. Otkrio je zastrašujuću rupu u sigurnosnom sustavu Facebooka. No, srećom on radi baš kao inženjer internetske sigurnosti pa je svoje otkriće odmah podijelio s Facebookom. Za nagradu je dobio 15.000 dolara u sklopu Facebookovog programa za otkrivanje bugova.
Nakon toga je cijeli slučaj objavio na svom blogu pod naslovom “Kako sam mogao hakirati sve profile na Facebooku”. U tom je tekstu otkrio detalje kako je uspio iskoristiti propuste u opciji “Zaboravili ste lozinku?” Objavio je i screeenshotove svakog koraka te video.
I Facebook se očitovao o ovom slučaju:
– Jedna od najvećih prednosti programa za lov na bugove je taj da možemo uočiti problem i prije, nego što izađu na tržište. Sretno smo što možemo zahvaliti Anandu i nagraditi ga za njegov izvrstan izvještaj, stoji u priopćenju Facebooka.
Kada zaboravite svoju lozinku Facebook vam omogućava slanje potvrdnog koda na SMS ili e-mail. No, pritom vam omogućava tek nekoliko pokušaja da taj kod ispravno unesete prije nego zaključa vaš profil. Ta tehnika onemogućuje da vam netko provali u profil nizom kombinacija dok jedna kombinacija konačno ne proradi. Ista je stvar s PIN-ovima na SIM karticama.
No, Anand je otkrio da pomoćni Facebookovi siteovi poput beta.Facebook.com nemaju tu limitirajuću zaštitu po broju pokušaja povratka lozinke. Koristeći taj nedostatak Prakash je uspio silom upasti u tuđi profil. Pritom je uspio čitati poruke drugog korisnika, ali i vidjeti njegove snimljene podatke o kreditnim karticama, privatne fotografije… Dakako, to su sve podaci za koje nikako ne želite da vam se itko drugi domogne, a kamoli hakeri.
Facebook je kasnije tvrdio da i njegovi beta siteovi također imaju zaštitu koja ne dozvoljava neograničen broj pokušaja unosa kodova, ali da se tom prilikom radilo o grešci u sustavu, te da je sustav bio ranjiv 72 sata.
Prakaash je prijavio ovaj slučaju Facebooku 22. veljače, a 2. ožujka Facebook ga je nagradio sa 15.000 dolara. Za tako veliki propust iznos se čak čini premalim…