ΕΔΩ ΠΙΕΡΙΑ

ΕΔΩ ΠΙΕΡΙΑ

Σάββατο 3 Νοεμβρίου 2012

Ανακαλύφθηκε επικίνδυνο κενό ασφαλείας στο Facebook


Ένα νέο κενό ασφαλείας που ανακαλύφθηκε πρόσφατα στο Facebook μπορούσε να επιτρέψει σε οποιονδήποτε να δει τις ηλεκτρονικές διευθύνσεις... που αντιστοιχούν σε ορισμένους λογαριασμούς χρηστών, ενώ κάποιοι από αυτούς ήταν προσβάσιμοι αυτόματα, χωρίς την ανάγκη εισαγωγής κωδικού.

Ένα μέλος του Hacker News ανακάλυψε πως μόνο με την επίσκεψη σε μια συγκεκριμένη συντόμευση (link), η οποία περιέχει το User ID ενός χρήστη, ο οποιοσδήποτε μπορούσε να δει το e-mail που αντιστοιχούσε στον εν λόγω λογαριασμό. Κάνοντας κλικ στο κουμπί «continue» μάλιστα, μπορούσε να μπει κανονικά στο προφίλ χωρίς να έχει τον απαιτούμενο κωδικό.

Αυτό σημαίνει πως στην καλύτερη περίπτωση, επιτήδειοι θα μπορούσαν να ανακαλύψουν την ηλεκτρονική διεύθυνση των χρηστών του Facebook, στην χειρότερη θα μπορούσαν να αποκτήσουν τον έλεγχο του λογαριασμού τους στο κοινωνικό δίκτυο.

«Όλα ξεκίνησαν όταν ένας φίλος μου έστειλε ένα e-mail που περιείχε link κοινοποίηση μιας ομάδας του Facebook», είπε ο nico-roddz, το μέλος που ανακάλυψε το πρόβλημα. «Όταν έκανα κλικ στο link μπήκα αυτόματα στον λογαριασμό του φίλου μου. Είναι λοιπόν σίγουρα ένα ζήτημα ασφαλείας του Facebook.

Σαν να μην έφτανε αυτό, η «βασική» μορφή της συντόμευσης διέρρευσε στο διαδίκτυο, θέτοντας σε κίνδυνο εκατομμύρια λογαριασμούς χρηστών.

Όπως εξήγησε ο μηχανικός λογισμικού Matt Jones, αυτές οι διευθύνσεις στέλνονται μόνο στους ίδιους τους χρήστες μέσω email «για την διευκόλυνση τους» και δεν πρέπει να δημοσιοποιούνται, ενώ πρόσθεσε πως λήγουν μετά από κάποιο χρονικό διάστημα και λειτουργούν μόνο για ορισμένους χρήστες.

Προς το παρόν λόγω της αποκάλυψης της ύπαρξης τους από το Hacker News αλλά της διαρροής τους στο διαδίκτυο, το Facebook έχει απενεργοποιήσει το συγκεκριμένο χαρακτηριστικό ενώ έχει ήδη ξεκινήσει να λαμβάνει μέτρα για την προστασία όσων λογαριασμών επηρεάστηκαν από το κενό ασφαλείας.
Το συγκεκριμένο link μοιάζει με το link του facebook αλλα η διαφορά τους είναι ότι η κατάληξη του δεν είναι .com άλλα κάποια άλλη π.χ .co.net