Külföldi források alapján az ismert biztonsági szakember, Buherator írta meg ma blogjában, a Buhera Blogon azt a biztonsági incidenst, amely a Facebookkal kapcsolatos.

Buherator értelmezését követve: a közösségi oldal megengedi, hogy különböző mobil eszközöket, pl. telefonokat is hozzárendeljünk a profilunkhoz. Ennek eléréséhez a felhasználó bejelentkezés után megadja a telefonszámát a weben, kap sms-ben egy kódot a megadott számra, melyet aztán webes felületen kell visszaigazolnia, -küldenie.

A hibát felfedező, majd ezért jutalomban is részesülő hacker azonban rájött, hogy az sms-kódot bekérő interfész megkap egy egy profile_id mezőt is, amit a felhasználó állíthat be. Ez eddig nem lenne gond, de kiderült, hogy a szerveroldalon nem ellenőrzik, hogy a bejövő profile_id a bejelentkezett felhasználóhoz tartozik-e, így bárki fiókjához hozzá lehetett rendelni az adott telefont.

És ahogy Buherator levonja a következtetést: „egy regisztrált telefon segítségével az ember remek dolgokat csinálhat, például kétfaktorosan autentikálhat, de éppen a jelszavát is megváltoztathatja, méghozzá a régi jelszó ismerete nélkül (elfelejtett jelszó), innentől pedig ugyebár gémóver van”.

A már javított hiba részletes leírását fin1te.net oldalon lehet elolvasni.