Ο ερευνητής Nir Goldshlager εντόπισε ένα κενό ασφάλειας στην υπηρεσία Secure File Transfer του Facebook , το οποίο επιτρέπει την επαναφορά του κωδικού πρόσβασης οποιουδήποτε λογαριασμού. Την συγκεκριμένη υπηρεσία χρησιμοποιούν οι εργαζόμενοι στο Facebook, για να μεταφέρουν αρχεία με ασφάλεια.
Ο πάροχος της υπηρεσίας Secure File Transfer, Accellion , αφαίρεσε την σελίδα εγγραφής, για να αποτρέψει την δημιουργία λογαριασμών από μη εξουσιοδοτημένους χρήστες.
Παρ’ όλα αυτά, ο μηχανικός ασφάλειας ανακάλυψε ότι η σελίδα είναι ακόμα προσβάσιμη από κάποιον που γνωρίζει την ακριβή τοποθεσία της. Έτσι, δημιούργησε λογαριασμό και κατάφερε με επιτυχία να εντοπίσει την κρίσιμη ευπάθεια: ένα αρχείο html με το όνομα «wmPassupdate.html», το οποίο μπορεί να χρησιμοποιηθεί για την επαναφορά όλων των κωδικών πρόσβασης των χρηστών της υπηρεσίας ( στελέχη και υπάλληλοι του Facebook ).
Το Facebook και η Accellion επιδιόρθωσαν την ευπάθεια, έπειτα από άμεση επισήμανση του ερευνητή.
secnews.gr
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου