Bezpečnostní expert a lovec odměn Anand Prakash objevil v únoru na Facebook kritickou chybu, která mu umožnila získat přístup k libovolnému účtu a plně jej kontrolovat. Přitom se nejednalo o nic složitého, napodobit jeho útok by nevyžadovalo žádné větší úsilí.

Základem je procedura pro obnovení hesla. Když jej zapomenete, tak vám Facebook zašle emailem anebo SMS šestimístný číselný PIN. Ten musíte pak zadat do formuláře. Pokusů máte desítky, než se aktivuje brute force ochrana, která má zabránit robotovi vyzkoušet všechny kombinace. Anand Prakash ale zjistil, že tato ochrana se neaktivuje na doménách beta.facebook.com a mbasic.beta.facebook.com. Bez této ochrany si stačí napsat robota, který bude zkoušet všechny kombinace, dokud se netrefí.

Ukázku úspěšného útoku pak nahrál na YouTube

Facebook má motivační program pro lovce odměn jako je Anand Prakash. Za nahlášení a asistenci při odstranění bezpečnostní zranitelnosti dostanete finanční odměnu. Anand Prakash takto získal od Facebook 15 tisíc USD (zhruba 368 tisíc kč). Takto vysoká částka se dává u velice závažných chyb, které mohou ohrozit osobní informace uživatelů. Ovšem pro srovnání například Apple nabízí za zranitelnost, která by umožnila ovládnout celý přístroj rovný milion dolarů.

Facebook tuto chybu urychleně opravil, takže o svůj účet nemusíte mít strach. V každém případě je to zajímavý podnět a hlavně připomenutí pro vývojáře, že je třeba ohlídat si i domény určené pro testování.