• Facebook: Falha Permite Hijacking de Contas de Usuários

    Um pesquisador de segurança do Reino Unido, revelou detalhes de uma vulnerabilidade recentemente corrigida no Facebook, por cuja descoberta ele recebeu 20 mil dólares através do programa de recompensas de bug da rede social. Jack Whitton (aka "fin1te"), que também é apresentador regular de vulnerabilidades ao Google e programas de recompensa de bugs do Etsy, encontrou um bug simples, mas fundamental para permitir que os atacantes tivessem acesso e assumissem contas aleatórias do Facebook através do envio de SMS.


    O ataque se baseia no fato de que muitos usuários têm um número de telemóvel associado à sua conta do Facebook, e que eles podem usar o número ao invés de seu endereço de e-mail para fazer login. A falha está no endpoint /ajax/settings/mobile/confirm_phone.php. Isso leva a vários parâmetros, mas os dois principais são o código de verificação recebido através do seu telefone, e profile_id, de acordo com uma explicação publicada em um post de blog.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=15151

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L