Un tânăr de 18 ani a descoperit o vulnerabilitate a Facebook, care permite spargerea conturilor

Un tânăr de 18 susține că a reușit să spargă mai multe conturi de Facebook ale unor necunoscuți, speculând o vulnerabilitate a rețelei sociale. Într-un articol publicat de Medium, James Martindale i-a avertizat pe utilizatorii Facebook despre această vulnerabilitate și a explicat pas cu pas cum a reușit să spargă conturile.

„Am făcut asta fără să cunosc persoanele, fără să le ating lucrurile sau fără să fiu în apropierea lor. Facebook îți permite să adaugi numărul de telefon în detaliile de contact de pe profilul tău, pentru ca prietenii să poată lua legătura cu tine și astfel.

Însă Facebook îți permite să folosești numărul de telefon și pentru a-ți recupera parola, exact așa cum este folosită și adresa de e-mail. De fapt, chiar te încurajează să îți securizez contul astfel. Însă Facebook nu te încurajează să îți updatezi datele de contact. Iar acest lucru poate fi un capăt de drum pentru profilul tău.

Am obținut un număr de telefon de la FreedomPop, o companie de telefonie care furnizează numere de telefon anonime de tip VoIP(Voice Over Internet Protocol). Am vrut să portez acest număr la Google Voice, însă ei nu pot porta numere de telefon fixe, așa cum sunt cele VoIP. Așa că mi-am portat numărul pe o cartelă prepay de la T-Mobile, pentru ca apoi să portez numărul de mobil pe Google Voice.

Am primit cartela T-Mobile și am băgat-o în telefon. Când urmam instrucțiunile de activare a cartelei, am primit două SMS-uri. Primul, de la un necunoscut. Al doilea era un mesaj de la Facebook, precum acelea în care te anunță că nu te-ai mai logat în cont de mult timp. Doar că eu încă nu adăugasem acest număr pe profilul meu de Facebook.

Am tipărit numărul de telefon în bara de căutări și mi-a apărut un singur cont. Am deschis Facebook într-un tab anonim în Google Chrome și am încercat să mă loghez cu numărul de telefon și o parolă la întâmplare. Bineînțeles că nu a funcționat, așa că am dat click pe „Recuperează-ți parola”.

Facebook îmi trimite un cod, îl introduc pe pagina de logare și îmi dă opțiunea de a alege o nouă parolă pentru contul respectiv. Și gata: puteam să pun o nouă parolă și să îl las pe acest tip fără cont de Facebook, doar pentru că uitase să își schimbe numărul vechi de telefon din informațiile de profil, iar numărul a ajuns pe mâna mea”.

Tânărul a atras atenția asupra faptului că mai mulți hackeri ar putea să profite de această vulnerabilitate pentru a fura conturi și a le cere apoi bani proprietarilor care vor să le recupereze, să se folosească de noua identitate a userilor pentru a comite diverse infracțiuni online sau să comenteze, să dea like-uri, să facă recenzii sau să posteze diverse lucruri fără acordul proprietarului.

El le dă și câteva sfaturi celor care nu vor să se trezească cu conturile furate: să își șteargă de pe profil numerele vechi de telefon, să primească alerte de la Facebook pentru logările de pe dispozitive necunoscute, să folosească autentificarea în doi pași sau să renunțe definitiv la platforma socială.

Reacția Facebook

Tânărul a trimis și un mesaj companiei, prin care îi înștiințează de această vulnerabilitate, și a primti un răspuns:

„Există situații în care numerele de telefon expirate sau vechi sunt repuse la dispoziția unor alți utilizatori. De exemplu, dacă un număr de telefon are un nou proprietar, iar acesta îl folosește pentru a se loga pe Facebook, ar putea să reseteze parola contului respectiv. Dacă un utilizator este trecut în baza noastră de date cu acel număr vechi, noul proprietar ar putea să îi fure contul.

Deși aceasta este o problemă, nu este un bug. Facebook nu are niciun control asupra modului în care companiile de telefonie distribuie numerele de telefon.”