Изследователят по сигурността Нелсън Нето демонстрира как да се сприятелявате във Facebook с всеки в социалната мрежа. Той също така твърди, че може да използва функцията Trusted Friends на услугата, за да хакне акаунт.
В Сребърен куршум конференция по сигурността в Сао Пауло, Бразилия, UOLDiveo Главният служител по сигурността Нелсън Нето демонстрира как да се сприятелявате във Facebook с всеки с малко социално инженерство. Всъщност целият подвиг му отне по-малко от 24 часа, както първо съобщи Ars Technica.
Първо, Нето избра цел: експерт по уеб сигурност, когото нарече SecGirl. След това използва информация, събрана от Facebook, LinkedIn и Amazon, за да създаде фалшив профил на нейния мениджър, за да спечели доверието й в най-голямата социална мрежа в света.
Бразилският изследовател по сигурността започна със създаването на фалшив акаунт във Facebook, който копира самоличността на мениджъра на целта (очевидно против политиките на социалната мрежа). След това той изпрати 432 покани за приятелство във Facebook до приятели на приятели на мениджъра, 436 покани за приятелство до приятели на мениджъра и след това 580 покани за приятелство до приятелите.
През първия час бяха приети 24 заявки от първата група, въпреки че 23 от тях вече имаха легитимния акаунт на мениджъра в своя списък с приятели във Facebook. През втория час той получи одобрение от 14 лица във втората група, всички от които бяха приятели с легитимния акаунт на мениджъра.
Седем часа и половина след началото на експеримента той имаше 35 приети покани за приятелство от третата група и SecGirl също се съгласи да бъде негов приятел във Facebook. По това време профилът е натрупал достатъчно приятели и приятели на приятели, за да изглежда легитимен: общо 73. Дори SecGirl да е забелязала, че вече е приятелка във Facebook с мениджъра си, тя вероятно е смятала, че мениджърът й просто прави нов акаунт.
Миналия месец Facebook обяви a нова функция Trusted Friends което ви позволява да изберете от три до пет доверени приятели, които могат да ви помогнат, ако някога имате проблеми с достъпа до акаунта си. Facebook ще изпрати кодове на приятелите, които сте избрали. Ако някога бъдете заключени от акаунта си (забравите паролата си и нямате достъп до имейла си акаунт), вашите приятели могат да ви предадат един от тези кодове, за да ви позволят да влезете отново във вашия сметка.
Нето твърди, че може да използва Trusted Friends, за да поеме легитимен акаунт във Facebook. Той твърди, че хакер може да използва тази функция заедно с инструмента за възстановяване на парола, за да промени както паролата, така и имейл адреса за контакт за акаунт. Оттам нататък хакерът може да използва този хакнат акаунт, за да стартира повече атаки със социално инженерство на още повече акаунти.
Доколкото разбирам, това няма да работи, защото не е достатъчно да сте приятели с целта; целта също трябва да ви избере като един от своите доверени приятели. Свързах се с Facebook, за да проверя дали това е така и да получа повече информация. Ще актуализирам тази история, ако получа отговор.
Междувременно можете да видите презентацията на Neto SlideShare.
Актуализация: „Методите, използвани в това изследване, нарушават политиките на Facebook“, каза говорител на Facebook в изявление. „Против нашите политики е използването на фалшиво име или представянето за когото и да било и ние насърчаваме хората да докладват онези, които смятат, че правят това чрез връзки за докладване, разположени в целия сайт. Когато дадено лице съобщи за акаунт поради тази причина, ние стартираме автоматизирана система срещу докладвания акаунт. Ако системата определи, че акаунтът е подозрителен, ние показваме известие на собственика на акаунта следващия път, когато той или тя влезе като предупреди лицето, че представянето за някого е нарушение на политиките на Facebook и може дори да е нарушение на местните закон. Това известие също изисква лицето да потвърди своята самоличност като истински собственик на акаунта в рамките на a определен период от време чрез един от няколко метода, включително регистрация и потвърждение на мобилен телефон телефонен номер. Ако лицето не може да направи това или не отговори, акаунтът автоматично се деактивира. Призоваваме хората да не добавят или приемат покани за приятелство от хора, които не познават."
Що се отнася до аспекта Trusted Friends, Facebook казва, че все още разглежда твърденията.
Актуализация 2: „Прави сте, че потребителите трябва предварително да изберат Trusted Friends от настройките на акаунта си“, каза ми говорител на Facebook. „Освен това имаме предпазни мерки около нашата система за доверен приятел, така че наскоро приятелски човек ще има най-малка вероятност да бъде избран като един от 3-мата приятели, използвани при възстановяването на паролата стъпки."
Вижте също:
- Facebook обявява две нови функции за сигурност, предлага инфографика
- Три седмици по-късно Facebook плати 40 000 долара награди за грешки в сигурността
- Експертите по сигурността имат смесени чувства относно обновяването на поверителността на Facebook
- Facebook тества две нови функции за сигурност на мобилни устройства
- Facebook подобрява безопасността, инструментите за сигурност; експертите не са впечатлени
- Потребителите на Facebook вече са разделени с 4,74 градуса