Hacker menemukan cara untuk hack dan mengubah password Anda seperti, hanya ia digunakan untuk mengubah password sendiri. Bingung? Baru-baru ini Facebook memperbaiki kerentanan yang sangat penting di ujung 'Ching Shiong Sow', seorang peneliti independen kerentanan. Flaw memungkinkan setiap orang untuk me-reset password dari setiap pengguna Facebook tanpa mengetahui password terakhirnya.
Di Facebook, ada pilihan untuk akun dikompromikan di "https://www.facebook.com/hacked", di mana Facebook meminta seseorang untuk mengubah password untuk perlindungan lebih lanjut. Ini halaman pemulihan account dikompromikan, akan mengarahkan Anda ke halaman lain di "https://www.facebook.com/checkpoint/checkpointme?f = [userid] & r = web_hacked".
Peneliti melihat bahwa URL dari halaman yang memiliki parameter yang disebut "f" yang mewakili user ID dan mengganti user ID dengan user ID korban memungkinkan dia untuk masuk ke halaman berikutnya di mana penyerang dapat mereset password korban tanpa mengetahui password terakhirnya.Kerentanan ini sangat sederhana untuk mengeksekusi, tapi sekarang ditambal oleh Tim Keamanan Facebook.
0komentar:
Post a Comment