Ένας ανεξάρτητος ερευνητής ασφαλείας, ο Sow Ching Shiong, ανακάλυψε μια σοβαρή ευπάθεια επαναφοράς κωδικού πρόσβασης στο Facebook που επιτρέπει στους hackers να αλλάξουν τους κωδικούς πρόσβασης στους λογαριασμούς του facebook.
Κανονικά, ένας χρήστης που επιθυμεί να αλλάξει κωδικό πρόσβασης οφείλει να εισάγει τον τρέχοντα κωδικό του και δύο φορές το νέο για την αποτροπή μη εξουσιοδοτημένων προσώπων από το να αλλάξουν τον κωδικού πρόσβασης, χωρίς να το γνωρίζει ο χρήστης.
Ωστόσο, ο ερευνητής διαπίστωσε ότι ένας χάκερ θα μπορούσε να αλλάξει τον κωδικό πρόσβασης του χρήστη, χωρίς να γνωρίζει τον τρέχοντα κωδικό πρόσβασης του χρήστη. Πως; Ππολύ απλά, από το url “https://www.facebook.com/hacked”, που κάνει αυτόματα ανακατεύθυνση στη σελίδα ανάκτησης λογαριασμού.
Από αυτή τη σελίδα, ένας εισβολέας μπορεί πολύ απλά να ζητήσει ένα νέο κωδικό πρόσβασης και να τον επιβεβαιώσει(δηλαδή να γράψει τον νέο κωδικό που επέλεξε δύο φορές), χωρίς να χρειάζεται να γνωρίζει οποιαδήποτε άλλη πληροφορία, σύμφωνα με το ehackingnews.
Η ομάδα ασφαλείας του Facebook διόρθωσε την ευπάθεια μετά την κοινοποίηση της από τον ερευνητή ασφάλειας και Sow Ching Shiong έχει προστεθεί στη λίστα των Facebook Whitehats (https://www.facebook.com/whitehat).