W ubiegłym miesiącu Anand Prakash natrafił na dość poważną dziurę w zabezpieczeniach Facebooka. Na czym polegał problem? Kiedy użytkownik resetuje swoje konto w serwisie, na jego telefon komórkowy wysyłany jest 6-cyfrowy kod PIN, który staje się jego tymczasowym hasłem. Facebook stosuje zabezpieczenie, które sprawia, że po 10 lub 12 błędnych próbach wpisania tego numeru PIN, tracimy możliwość zalogowaniu się na konto.
Czytaj też: Czy Facebook przekroczył granicę?
To samo zabezpieczenie nie zostało jednak aktywowane na stronie beta.facebook.com, która jest używana przez deweloperów do testowania nowych funkcji i aplikacji. Problem w tym, że z poziomu serwisu beta.facebook.com, bez najmniejszego problemu możemy zalogować się na konto wybranego użytkownika.
Co więcej, brak zabezpieczenia „odcinającego nas” od dostępu do konta po 12 nieudanych próbach wprowadzenia tymczasowe kodu PIN sprawił, że Anand Prakash mógł zasypywać Facebooka dowolnymi kombinacjami sześciocyfrowego kodu, a co za tym idzie potencjalnie mógł zalogować się na każde konto, na które tylko chciał.
Facebook nagradza „hakera”
Na szczęście Prakash nie wykorzystał swojego odkrycia w niecnym celu. Zamiast tego, poinformował o nim Facebooka. „W nagrodę” otrzymał od firmy Marka Zuckerberga 15 tysięcy dolarów.
„Jednym z największych korzyści z prowadzenia przez nas programu zgłaszania luk w zabezpieczeniach jest możliwość reagowania na te problemy jeszcze zanim staną się one realnym zagrożeniem” – napisał Facebook w oświadczeniu. „Cieszy nas, że mogliśmy wynagrodzić Ananda za jego zgłoszenie”
W ciągu ostatnich 5 lat Facebook przeznaczył 4,3 mln dolarów na nagrody dla osób, które odkryły luki w zabezpieczeniach serwisu.
