Nawet milion kont na Facebooku może być narażonych na zbyt proste metody hackowania poprzez adres e-mail, które nie wymagają specjalnych umiejętności programistycznych czy wiedzy komputerowej. Co się okazuje, wszystko co jest potrzebne to cierpliwość oraz czyjś wygasły adres Hotmail.
Takie stwierdzenie stworzyli badacze zabezpieczeń na Rutgers University w Newark, New Jersey. Zagrożenie to – powołując się na prace Panagiotisa Karrasa – jest tworzone, ze względu, że Microsoft wycofuje konta Hotmail po nieużywaniu ich przez 270 dni i przypisuje je do nowych użytkowników, którzy poproszą o właśnie taki ID. Jak wiadomo Facebook wykorzystuje adresy e-mail, jako login. Zatem atakujący konto Facebook osoby, która zarejestrowała się z wykorzystaniem adresu Hotmail (ma to miejsce głównie w Stanach Zjednoczonych i Wielkiej Brytanii, nie mniej bywa również popularne w Polsce; poza tym system ten działać będzie w stosunku do wszystkich darmowych kont e-mail jak tlen, wp, etc.), może wykorzystać stary adres Hotmail – jeśli wie jak go poszukać.
Aby sprawdzić czy cel z adresu Hotmail jest dostępny, atakujący wysyła zwykłą wiadomość e-mail. Jeśli otrzyma odpowiedź zwrotną, że ?konto niedostępne? (?mailbox unavailable?), to ma swoją ofiarę już na widelcu. Dodatkowo importując kontakty z Facebooka do aplikacji Windows Live Messenger jeszcze bardziej ułatwia się sobie sprawę, ponieważ automatycznie jest się w stanie powiedzieć, konta których użytkowników już wygasły.
W dalszej kolejności wystarczy założyć takie samo konto Hotmail i reaktywować je. Wprowadzając e-mail jako login na Facebooku należy wybrać opcję “Zapomniałem hasła”, co spowoduje, że system portalu społecznościowego wyśle automatyczny e-mail, który pozwoli na ustawienie nowego hasła i jednocześnie przejęcie pełnej kontroli nad danym kontem,
W swoich testach naukowcy z sukcesem uzyskali dostęp do 15 kont Facebooka, jednak wstrzymali swoje eksperymenty, aby uniknąć “etycznych dylematów” oraz “potencjalnych problemów prawnych”. W swoich pracach określili, że hackerzy mogą dostać się w ten sposób do około miliona kont Facebooka. Stanowi to oczywiście niewielki ułamek w obliczu miliarda użytkowników.
Jeszcze w tym tygodniu zespół badaczy zaprezentuje tę lukę na konferencji World Wide Web, która odbędzie się w Rio de Janeiro.
Inne podobne usługi online mogą być podobnie narażone, jednak jak twierdzi rzecznik Google, firma ta nie praktykuje recyclingu adresów e-mail swoich użytkowników.
W liście nadesłanym do New Scientist członek zespołu Microsoft Hotmail napisał: “Nie jest to zagadnienie dotyczące zarówno Facebooka czy Hotmail. Jeśli ktoś zaprzestaje korzystania ze swojego konta Microsoftu, to powinien automatycznie sam zatrzymać inne usługi online skojarzone z tym adresem”.
Źródło: New Scientist
