Facebook’taki bir güvenlik açığı, bir saldırganın, kurbanın herhangi bir şeye tıklamasına gerek kalmadan bir Facebook hesabını ele geçirmesine olanak tanıyabilirdi.
Hata, Nepalli bir ödül avcısı olan Samip Aryal tarafından bulundu ve Facebook tarafından düzeltildi.
Dört kez Meta Whitehat ödülü alan hesap ele geçirme güvenlik açığı arayışına Android’deki kaldırma ve yeniden yükleme sürecine bakarak başladı. Birkaç farklı kullanıcı aracısını kullanarak şifre sıfırlama akışında ilginç bir yanıtla karşılaştı.
Araştırmanın ardından, giriş kodunun birkaç özelliği onu ilginç bir saldırı vektörü haline getirdi:
- Kod iki saat boyunca geçerliydi
- Talep edildiği dönemde bu durum değişmedi
- Yanlış giriş kodunu denediyseniz doğrulama yapılmadı
Bu kodların yalnızca 6 basamaklı olduğu gerçeğiyle birleştiğinde Samip, bir saldırganın eninde sonunda bir hesaba girme umuduyla oturum açma kimlik bilgilerine sürekli olarak erişmeye çalıştığı kaba kuvvet saldırısı fırsatlarını gördü.
Tüm bu bilgileri ortaya çıkardıktan sonra Samip, Facebook kimlik doğrulama süreci hakkındaki geniş bilgisi sayesinde bir hesabı ele geçirme yönteminin nispeten basit olduğunu gördü:
- Herhangi bir Facebook hesabını seçin.
- Bu kullanıcı olarak oturum açmayı deneyin ve parola sıfırlama talebinde bulunun (Şifremi unuttum).
- Mevcut sıfırlama seçeneklerinden “Facebook bildirimi yoluyla kod gönder” seçeneğini seçin.
- Bu bir POST isteği oluşturur. POST isteğinin bir parçası olarak, istek mesajının gövdesinde sunucuya herhangi bir türden isteğe bağlı miktarda veri gönderilebilir.
- Bu POST isteğini kopyalayın ve 100.000 olasılığın tümünü denemek için bir yöntem kullanın. 100.000 olasılığın çok gibi görünebileceğini unutmayın, ancak iki saatlik zaman dilimi göz önüne alındığında bunu yapmak için pek çok seçenek vardır.
- Eşleşen kod, aramanın başarılı olduğunu onaylayan bir yönlendirme olan 302 durum koduyla yanıt verir.
- Hesabın şifresini sıfırlamak için doğru kodu kullanın; saldırgan artık hesabı ele geçirebilir.
Bir uyarı vardı. Hesap sahibi, giriş yaptığı cihazda bildirimi görecektir. Ve garip bir şekilde bildirimler iki şekilde geldi.
Sıfır tıklamayı sağlayan veya olmayan bildirim farkı
İlki yukarıda açıklandığı gibi çalışır, ancak ikincisi, Facebook’un bir giriş kodu oluşturmasından önce hesap sahibinin bu bildirime dokunmasını gerektirir. Bu, hesabı ele geçirmeyi çok daha zorlaştırır.
Samip’in güvenlik açığını nasıl bulduğuna dair ayrıntılı bir rapora Medium sayfasından ulaşılabilir.
Facebook, Samip’e bir ödül verdi ve sorunu düzeltti. Samip, diğer ödül avcılarıyla birlikte Meta’ya yüzlerce rapor sundu ve bunlar çözüldü, böylece Facebook ve diğer platformlar daha güvenli bir yer haline geldi.
Dikkat etmek işe yarar
Bu yöntemden, Facebook kullanıcılarının ve diğer platformların kullanıcılarının kendi avantajlarına kullanabileceği birkaç çıkarım vardır.
- Şifre talebinin başlatıldığına dair işaretlere (e-posta, bildirimler, kısa mesajlar vb.) dikkat edin. Birisi hesabınızı ele geçirmeye çalışıyor olabilir. Sıfırlamayı siz yapmıyorsanız, parola sıfırlama bildirimindeki talimatları izleyin.
- Facebook giriş seçeneğini diğer platformlarda ve kesinlikle hakkınızda kişisel veya finansal bilgilerin bulunduğu platformlarda kullanmayın.
- Suçluların hesabınızı ele geçirmesini zorlaştırmak için Facebook için 2FA’yı açın.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.