Kullanıcılar onlar farkında olmadan bazı bilgilerine erişim sağlayabildiğini keşfeden Jack Whitton adlı araştırmacı, sistemde bulduğu hatayı önce kendi blogunda detaylıca anlatmıştı. SMS üzerinden bir yöntemle Facebook hesaplarının çalınabildiğini açıklayan “fin1te” rumuzlu genç, bu iddiasını ekran görüntüleriyle de kanıtlamıştı.
Facebook’un kullanıcının hesabını cep telefonu numarasıyla bağlayabilme
seçeneği güvenlik açığının temelini oluşturuyor. Bu özelliğin aynı
zamanda telefon numarası yerine e-posta adresi veya SMS mesajını da
kabul etmesi sonucu, Facebook tarafından gönderilen yetki kodları başka
kullanıcıların hesaplarında da işe yarıyor. Yani aynı kod ile kötü
niyetli bir kullanıcı başka kişilerin şifrelerini değiştirme ve
dolayısıyla hesabını ele geçirme şansına sahip oluyor.
Görünüşte basit olsada bu hata Facebook’taki kullanıcılar açısından
büyük bir tehlike taşıyordu. Konu ile ilgili görüş bildiren güvenlik
uzmanları da kod satırları arasında gözden kaçan bu küçük hatanın yüz
milyonlarca kullanıcıyı savunmasız bıraktığına ve felaketten dönüldüğünü
ifade etti.
Facebook, Jack Whitton’un sorunu rapor etmesinden beş gün sonra açığı
kapatarak, bu basit yöntemin yol açtığı tehlikeyi tamamen ortadan
kaldırdı. Facebook Whitton’a 20 bin dolarlık para ödülüyle teşekkür etti
ve 22 yaşındaki İngiliz güvenlik araştırmacısına aynı
zamanda Facebook destekçileri kişilerinin listelendiği Whitehat
sayfasında yer verdi.
Hiç yorum yok:
Yorum Gönder