Исследователь информационной безопасности Джеймс Мартиндейл обнаружил методику перехвата управления над чужим аккаунтом в Facebook с помощью функционала восстановления учетной записи и старого номера телефона пользователя.
Старые номера телефонов, которые больше не принадлежат владельцам аккаунтам, остаются привязанными к учетным записям Facebook. Таким образом, новый владелец номера может без труда войти в чужую учетную запись, не вводя пароль, который при желании он может поменять пароль.
Мартиндейл вышел на связь с представителями Facebook, которые заявили, что обнаруженная экспертом проблема нельзя охарактеризовать как баг. Они также сообщили репортерам издания The Register, что ряд онлайн-сервисов дает пользователям возможность восстанавливать доступ к аккаунтам с помощью телефонных номеров. Сотрудники Facebook советуют добавлять в список лишь актуальные номера телефонов. Они также подчеркнули, что при выявлении подозрительной попытки восстановления пароля запрашиваются более подробные сведения о пользователе.
Сам Мартиндейл утверждает, что в Facebook не осознают весь масштаб проблемы или целенаправленно игнорируют ее. В отличие от прочих онлайн-сервисов, Facebook дает возможность привязывать к учетной записи сразу несколько номеров телефонов.
Данная проблема была обнаружена экспертом случайно, когда он выяснил, что его новый телефонный номер был ранее привязан к чужому аккаунту Facebook. На номер Мартиндейла поступило сообщение от Facebook, в котором предлагалось возобновить использование неактивного аккаунта. Более того, эксперт в скором времени узнал, что к тому же аккаунту были привязаны еще 5 номеров.
Таким образом, Facebook разрешает добавление к аккаунту нового телефонного номера без удаления предыдущего. Многие пользователи могут даже не догадываться о необходимости удаления старого номера.
Мартиндейл проверил множество номеров и часто находил другие уязвимые учетные записи. Эксперт подчеркивает, что ему ни разу не удалось обнаружить факты срабатывания защитного механизма, выявляющего подозрительные попытки входа.
Мартиндейл заявил, что сотрудники Facebook должны сразу сообщать пользователям о необходимости удаления старого номера телефона при его смене, запрещать восстановление аккаунтов без принудительного сброса пароля и отправки уведомлений на все телефонные номера и почтовые адреса, привязанные к учетной записи.
