„Meta“ dažnai pasidalina rezultatais apie savo naujausias pastangas identifikuoti ir užkirsti kelią kenkėjiškų programų kampanijoms, kurios taikėsi į socialinių tinklų vartotojus. Bendrovės saugos komandos naudojo įvairius metodus kovai su kenkėjiškomis programomis.
JAV bendrovė valdo tokius socialinius tinklus kaip „Facebook“ ar „Instagram“, o neseniai buvo ištaisytas svarbus pažeidžiamumas, kuris piktavaliams galėjo leisti perimti bet kurios „Facebook“ paskyros kontrolę, praneša kibernetinio saugumo tyrėjai.
Informaciją apie buvusį pažeidžiamumą atskleidė Nepale gyvenantis kibernetinio saugumo specialistas Samipas Aryalas. Dėka šios spragos identifikavimo jis atsidūrė ir „Facebook“ programos už klaidų aptikimą viršūnėje. Anksčiau jis rikiavosi 27 vietoje, tačiau dabar pakilo į pačią viršūnę.
Pasak S. Aryalo, pažeidžiamumas turėjo įtakos „Facebook“ slaptažodžio keitimo procesui, ypač galimybei, kai šešiaženklis unikalus autorizavimo kodas siunčiamas į kitą įrenginį, prie kurio vartotojas yra prisijungęs. Šis kodas pateikiamas siekiant patvirtinti naudotojo tapatybę ir naudojamas slaptažodžio keitimo procesui užbaigti.
Išanalizavus naršyklės siunčiamą užklausą, kai buvo naudojama ši slaptažodžio keitimo parinktis, paaiškėjo, kad unikalus kodas buvo aktyvus maždaug dvi valandas ir nebuvo naudojamos jokios papildomos apsaugos.
Užpuolikui tereikėjo žinoti tikslinio asmens „Facebook“ vartotojo vardą ir jis galėjo naudoti penkiaženklį testavimo įrankį, pavyzdžiui, „Burp Suite“, kad išmuštų šešiaženklį kodą, kuris leistų jam iš naujo nustatyti tikslinės paskyros slaptažodį arba tiesiog prisijungti prie jos.
Pasinaudojus šiuo pažeidžiamumu, tikslinis naudotojas gautų pranešimą iš „Facebook“. Šiame pranešime tiesiogiai rodomas šešiaženklis kodas arba prašoma bakstelėti pranešimą, kad pamatytų kodą – šis antrasis variantas paverstų jį vieno spustelėjimo, o ne nulinio spustelėjimo išnaudojimu.
Skelbiama, jog saugumo specialistas „Meta“ atstovus apie aptiktą spragą informavo sausio 30 dieną, o „Facebook“ esantis saugumo pažeidžiamumas buvo ištaisytas jau vasario 2 dieną. Tiesa, viešai nėra paskelbta kiek galėjo uždirbti Nepale gyvenantis ekspertas.
„Meta“ pateikiama informacija atskleidžia, kad išmokos už saugumo spragų aptikimą svyruoja nuo 5 tūkst. iki 130 tūkst. JAV dolerių. Didžiausia suma dažniausiai skiriama už pažeidžiamumus, kurie yra susiję su paskyrų perėmimo galimybėmis, o būtent tokį spragą ir aptiko S. Aryalo.
