Αναβαθμίστηκε το Facebook για να μην μοιράζει αριστερά και δεξιά τα τηλέφωνα μας. Όπα. Μισό λεπτό. Τι;


Ένα σημαντικό bug του Facebook μπαλώθηκε το Σαββατοκύριακο που μας πέρασε. Ένα bug που επέτρεπε σε όποιον γνώριζε έναν αριθμό τηλεφώνου να βρει ποιός ήταν ο κάτοχος του.

Ένα σημαντικό πρόβλημα ασφαλείας ήταν… χαμένο μέσα στο χάος λειτουργιών του Facebook και, ευτυχώς, “μπαλώθηκε” πρόσφατα, αφού αν και μάλλον αφορούσε μικρό κομμάτι του “πληθυσμού” του κυρίαρχου κοινωνικού δικτύου, ήταν αρκετά σημαντικό.

Μια από τις λειτουργίες που παρέχει το Facebook είναι αυτή της “επικύρωσης της σύνδεσης”, ένα πρόσθετο μέτρο ασφαλείας γνωστό στα Αγγλικά ως “login approvals”. Αυτό, αν το έχει επιλέξει ο χρήστης, “συνδέει” τον λογαριασμό του στο κοινωνικό δίκτυο με τον αριθμό του κινητού του και ενεργοποιείται όταν γίνεται απόπειρα πρόσβασης σε αυτόν από μια διαφορετική συσκευή. Όποτε ο χρήστης “μπαίνει στο Facebook” από, π.χ., ένα νέο tablet, τον υπολογιστή ενός φίλου, ένα Internet Cafe κ.λπ., λαμβάνει ένα μήνυμα στο κινητό του με έναν πρόσθετο κωδικό που πρέπει να εισαγάγει για να μπορέσει να “συνδεθεί”. Η λογική αυτής της προσέγγισης “λέει” πως αν η προσπάθεια σύνδεσης γίνεται από κάποιον τρίτο, ακόμη και αν έχει στα χέρια του το απαιτούμενο login και password, δεν θα έχει και το κινητό του χρήστη, και άρα, δεν θα λάβει και το μήνυμα με τον πρόσθετο κωδικό.

Έλα, όμως, που τα τηλέφωνα που “συνδέονταν” με λογαριασμούς χρηστών δεν είχαν εξ’ ορισμού κάποια ρύθμιση ώστε να μην αποκαλύπτονται κατά τις αναζητήσεις στο Facebook. Αποτέλεσμα; Έστω πως έπεφτε στα χέρια σας το τηλέφωνο μιας κοπέλας. Αν το “χώνατε” στο Facebook, θα μπορούσε να εμφανιστεί ως αποτέλεσμα το ονοματάκι της. Έτσι, αν δεν το γνωρίζατε, αυτομάτως το είχατε μάθει – και θα μπορούσατε να συνεχίσετε με αυτά τα στοιχεία περαιτέρω αναζητήσεις, μέχρι να ολοκληρώσετε ένα πλήρες προφίλ της για να μπορείτε να την καταδιώκετε τα βράδια ανενόχλητοι, αν στο ενδιάμεσο δεν σας είχαν… μπουζουριάσει.

Άξιο σημείωσης πως η αλλαγή έγινε αφού ένας ερευνητής απέδειξε, κατασκευάζοντας μια σχετική εφαρμογή που αντιστοιχούσε ονόματα σε δεκάδες χιλιάδες τηλεφωνικών αριθμών, πόσο σημαντική “τρύπα ασφαλείας” αποτελούσε το συγκεκριμένο πρόβλημα.

Source:

Facebook engineers have modified a controversial feature to prevent it from exposing the phone numbers users must provide to receive an additional level of security against account takeovers.

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.