روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ Anand Prakash می تواند هر حساب کاربری در فیسبوک را هک کند. این محقق امنیتی مستقر در هند، ماه گذشته وصله آسیب پذیری را در بخش بازنشانی کلمه عبور پیدا کرد. این ایراد به او اجازه می داد تا از بین 1.1 میلیارد حساب کاربری در فیسبوک هر کدام را با brute force هک کند.
اما او به جای غارت کردن حسابها این مشکل را به فیسبوک در تاریخ 2 مارس گزارش کرد و مبلغ 15000 دلار جایزه بدست آورد. فیسبوک هم گفته است این مبلغ بیشتر از استانداردهای پرداختی اش بوده است. اما باید توجه داشته باشید که فیسبوک از برنامه های نادر و انگشت شماری برای رفع اینگونه اشکالات استفاده می کند.
چرا این پرداخت برای فیسبوک سنگین بود؟ این یک تهدید به شدت خطرناک بود. Prakash چه چیزی در فیسبوک پیدا کرده بود که می توانست امنیت حریم خصوصی کاربران را برهم زند؟ سخنگوی فیسبوک گفته است: "Prakash در زمان مناسب و در مکان مناسب قرار داشت و مانند یک شکارچی که به دنبال اشکال است عمل کرد."
این آسیب پذیری در حفره ای قرار داشت که فیسبوک به صورت خدمت به خود در جهت بازنشانی کلمات عبور استفاده می کرد. Prakash در تبادلات ایمیلش گفته است: "تنها چیزی که شما برای سودجویی در این مورد نیاز داشتید یک حساب کاربری بود."
در ماه گذشته Prakash گفت: "زمانیکه متوجه نقص امنیتی فیسبوک در خصوص بازنشانی کلمات عبور شدم، متوجه شدم که سایت توسعه فیسبوک (beta.facebook.com) و سایت کمپانی از یک نسخه قدیمی (mbasic.beta.facebook.com) استفاده می کنند که دارای تنظیمات امنیتی مختلفی هستند.
Prakash توضیح داد هر زمان که یک کاربر رمز خود را فراموش کند باید برای تنظیم مجدد رمز، شماره تلفن و یا آدرس ایمیلی که با آن وارد صفحه می شده است را وارد کند. سپس فیسبوک یک کد شش رقمی به منظور تنظیم مجدد کلمه عبور به تلفن یا ایمیل کاربر ارسال می کند. وی در ادامه گزارش خود آورده است که: "من تلاش کردم تا کد شش رقمی را در www.facebook.com مورد Brute force قرار دهم که بعد از 10 تا 12 بار تلاش کردن آن نام کاربری مسدود شد."
اما حملات Prakash در beta.facebook.com و mbasic.beta.facebook.com هرگز مسدود نشد. او گفت: "هیچ محدودیتی در کلمه عبور وجود نداشت." وی به آسانی توانست کد شش رقمی را با استفاده از نرم افزارهای امنیتی در حال آزمایش بشکند.
وی ادامه داد: "این یک بهره برداری بسیار آسان بود و برای هر کسی قابل دسترس است. تمام چیزی که یک مهاجم سایبری نیاز دارد در نام کاربری و درخواست رمز عبور فراموش شده خلاصه شده است."
مشکلی که Prakash در فیسبوک پیدا کرد یک نقطه آسیب پذیری برای یک دوره زمانی کوتاه بود. Prakash گفت تنها حساب کاربری که با این روش باز کرده است حساب کاربری خودش بوده است. وی در همان روزی که این ایراد را پیدا کرده آن را گزارش کرده است. فیسبوک هم اعلام کرد که پس از چند ساعت توانست این حفره را از بین ببرد.
سخنگوی فیسبوک اعلام کرد: "یکی از با ارزش ترین برنامه ها، نرم افزارهایی هستند که مشکلات را حتی قبل از تولید پیدا می کنند. ما خوشحال هستیم که Ananda این گزارش عالی را برای ما ارسال کرد."
Alex Stamos رئیس امنیتی فیسبوک، در توییتر خود اعلام کرد: "Ananda بزرگ از 15000 دلارت لذت ببر."
با مشکلی که Prakash در فیسبوک پیدا کرد، تعداد مشکلات فیسبوک به بالای 90 عدد رسیده است. این محقق امنیتی یک کار تمام وقت مهندسی امنیت محصولات در Flipkart را دارد که نسخه هندی سایت Amazon.com در Karnataka، Bangalore در کشور هند می باشد.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
