Nepal'den bir siber güvenlik araştırmacısı ve etik hacker olan Samip Aryal, sistemin hız sınırlama özelliğini atladı ve ardından iki saat boyunca 6 basamaklı sayıların (000000'den 999999'a kadar) olası kombinasyonlarını kontrol etti.
Nepalli bir ödül avcısı olan Samip Aryal, Facebook'un şifre sıfırlama sisteminde, bilgisayar korsanlarının hedeflenen herhangi bir hesabı ele geçirmesine olanak tanıyan bir sıfır tıklama kusuru keşfetti. Bu istismar Aryal'a en yüksek hata ödülünü kazandırdı ve onu Facebook Beyaz Şapkalı Hackerlar Onur Listesi'nde 2024 sıralamasında zirveye taşıdı, ancak ödül miktarı tam olarak bilinmiyor.]
Aryal, Facebook'un şifre sıfırlama işlevini hız sınırlaması olmaksızın kötüye kullanmanın bir yolunu keşfetti. Bu hata, saldırganların parola sıfırlama ve 6 basamaklı güvenlik kodlarını kaba kuvvetle zorlama yoluyla “sıfır tıklama” saldırıları yoluyla (kullanıcı etkileşimi olmadan) kullanıcı hesaplarını ele geçirmesine olanak tanıyordu.
Güvenlik açığı, Facebook'un şifre sıfırlama işlevinde keşfedildi. Bilgisayar korsanlarının sistemin hız sınırlama özelliğini atlamalarına ve ardından iki saat boyunca 6 basamaklı sayıların (000000'den 999999'a kadar) olası kombinasyonlarını kontrol etmelerine olanak tanıdı.
Aryal, blogunda, Facebook sürümlerini test ederken Android Studio'da savunmasız bir uç nokta bulduğunu açıkladı. Parola sıfırlama akışında kullanıcılara Facebook bildirimi aracılığıyla bir güvenlik kodu göndermelerini sağlayan bir açılır pencere aldı. Yanlış girişlere rağmen kod iki saat boyunca aktif kaldı.
Aryal, “Doğru kodu girdikten sonra herhangi bir kod geçersizliği görmedim, ancak daha önce birden fazla geçersiz deneme yapıldı (SMS sıfırlama işlevinden farklı olarak),” diye açıkladı Aryal.
Bir saat içinde tüm arama alanını kapsamak için kaba kuvvet saldırı metodolojisi kullandı ve bazı kullanıcıların bildirimde sıfır tıklamayla istismar edilen nonce kodunun görüntülendiğini ortaya çıkardı. Kod, tek bir tıklamayla başka bir ekranda görüntülendi.
Bilginiz olsun diye belirtmek isterim ki, kriptografik bir nonce, kriptografik bir iletişimde yalnızca bir kez kullanılabilen rastgele bir sayıdır. Ayrıca, bilgisayar korsanlarının herhangi bir hesabı seçerek, şifre sıfırlama akışına giderek, “Facebook bildirimi yoluyla kod gönder” seçeneğini seçerek, sunucu yanıtı almak için herhangi bir kodu deneyerek ve iki saat içinde kaba kuvvet uygulayarak Facebook kullanıcı hesaplarını ele geçirebileceğini belirtti. Facebook uygulaması kullanıcıları, altı haneli bir kod içeren veya oturum açma kodunu görmek için dokunmalarını isteyen bildirimler alacak.
Aryal, kusuru 30 Ocak 2024'te sorumlu bir şekilde Facebook'a açıkladı ve sorun 2 Şubat'ta düzeltildi.
Güvenlik açığı kişisel bilgi hırsızlığına, dezenformasyonun yayılmasına ve ağ saldırılarına yol açabilir. Meta ve diğer sosyal ağ platformlarında ortaya çıkan güvenlik tehditlerinin farkında olmak, hesaplarınızı korumak için de çok önemlidir.
Özellikle son dönemde Meta hesapların dolandırıcıların hedefi haline geldiğini belirtmekte fayda var. Mart 2023'te Guardio'daki araştırmacılar, Google arama sonuçlarıyla entegre olduğunu iddia eden ancak gerçekte Facebook hesaplarını çalmaya çalışan sahte ChatGPT uzantılarını içeren bir bilgi çalma kampanyası keşfetti.
WithSecure siber güvenlik şirketi, son DarkGate kötü amaçlı yazılım saldırıları ile Ekim 2023'te Meta işletme hesaplarını ele geçirmeye ve hassas verileri çalmaya çalışan Vietnam merkezli tehdit aktörleri arasında bir bağlantı tespit etti.
Güvende kalmak için kullanıcılar iki faktörlü kimlik doğrulamayı etkinleştirmeli, güçlü, benzersiz şifreler kullanmalı, şifre sıfırlama taleplerine karşı dikkatli olmalı ve güvenlik tehditleri konusunda güncel kalmalıdır.
İLGİLİ KONULAR
- En İyi Kripto Bug Ödül Programlarından 6'sı
- Tüm Zamanların 10 Ünlü Böcek Ödül Avcısı
- Hata ödülü: Kendi Model 3'ünüzü kazanmak için Tesla Model 3'ü hackleyin
- OpenAI'nin ChatGPT Hata Ödül Programı – 200 ila 20 bin ABD Doları kazanın
- Hata Ödülü: Facebook, Instagram ve WhatsApp'ı hackleyerek 40 bin dolar kazanın