4. kesäkuuta 2010

Facebookin hakkerointi - näin se käy

Ei ole kovin kehuttava kyllä Facebookin tietoturvan taso. Kuka tahansa Facebook-tilin omaava voi mennä (kun ei ole itse kirjautunut sisään Facebookkiin) tähän osoitteeseen ja valittaa Facebookin ylläpidolle, että hänen "oma" (uhrin) tili on kaapattu ja että myöskin hänen normaalisti käyttämä sähköpostitili on kaapattu hakkerin haltuun. Tietämällä uhrin nimen, Facebook-osoitteen, sähköpostiosoitteen ja syntymäpäivän voikin sitten tilata uuden salasanan uhrin Facebook tiliin ja kaapata se on ihan oikeasti haltuunsa.

Voi toki olla, että Facebook-tiimi ei suostu myöntämään uutta salasanaa ja mahdollista tätä, koska jokainen hakemus käsitellään erikseen. En kuitenkaan näe mitään syytä siihen, että he EIVÄT sitä myöntäisi jos oikeat tiedot saa syötettyä tuohon lomakkeeseen. Nuo tiedothan saa yleisesti ottaen täysin vapaasti esimerkiksi kaverien Facebook-profiileista kerättyä. Vaikka syntymäpäivän muuttaisikin vääräksi ja piilottaisi muilta käyttäjiltä (kuten minä olen tehnyt), niin Facebook silti ilmoittaa kavereillesi, kun tuo päivä lähestyy. Näin ollen ainoa keino suojautua tätä hyökkäystä vastaan on muuttaa oma syntymäaika, piilottaa se kaikilta paitsi itseltään ja tämän lisäksi muutella sitä aina vähän väliä uudestaan (ainakin silloin, kun tämä "syntymäpäivä" on lähestymässä).

Alkeellista tietoturvamokaamista Facebookilta, täytyy kyllä sanoa.

On varsin yleistä, että erilaisten nettipalvelujen salasanat saa resetoitua, jos ne unohtaa ja resetointi tapahtuu siten, että nettipalvelu lähettää salasanan resetointiin mahdollistavan linkin sähköpostiin käyttäjälleen. Systeemi onkin melko turvallinen, koska sen murtaminen edellyttää uhrin sähköpostitilinkin murtamista. Ilman pääsyä uhrin sähköpostiin ko. resetointilinkkiä - tai uutta salasanaa ei pääse hyödyntämään. Facebookin tietoturva-aukon ongelma onkin juuri siinä, että se mahdollistaa resetointilinkin/salasanan lähettämisen sähköpostiosoitteeseen, joka EI ole käyttäjän itsensä Facebookille antama, vaan mikä tahansa, minkä tuolle sivulle hakkeri haluaa laittaa!

Facebook ja tietysti muutkin nettipalvelut voisivat helposti suojautua kaikenlaisilta tilien kaappauksilta käyttämällä "kahden eri salasanan tekniikkaa", jossa käyttäjällä olisi kaksi eri salasanaa: Toinen normaaliin kirjautumiseen ja systeemin käyttämiseen, sekä toinen salasana, jolla voidaan tehdä kaikkia ylläpitotoimia. Näin normaalisti käytettävän salasanan päätyminen hakkerille ei vielä vaaranna koko systeemin turvallisuutta, koska ylläpitosalasanaa käyttämällä voisi kirjautua sisään ja muuttaa varsinaista salasanaansa.

8 kommenttia:

Anonyymi kirjoitti...

Melkein kaikissa webbipalveluissa on mahdollista palauttaa salasana johonkin muuhun sähköpostitunnukseen. Pitää vain vastata salaiseen kysymykseen, joka on usein tyyliin: "äitisi tyttönimi". Ei ole vaikea kaivaa tuohon oikeaa vastausta.

Anonyymi kirjoitti...

Social engineering

Anonyymi kirjoitti...

Mutta mua kiinnostaisi että tuliko mieleen, kun saat vaihdettua sen uuden salasanan facebookkiin, se menee kyseisen käyttäjän käyttämään sähköpostiin. Mites sitten suu pannaan? Kuinka sitten menettelet ellet jotenkin saa tietoon sähköpostinkin salasanaa. Ei tämä niin yksinkertaista ole. Onneksi.

Anonyymi kirjoitti...

kiitos näistä keskusteluista. Minun nimiini yritti häirikkö tuttava luoda face-book tiliä. Olin ihan äimänä kun sähköpostiini tuli viesti jossa sanotaan että rekisteröintisi facebookiin on kesken.Soitin ko. häirikkö "ystävälle" koska epäilys heräsi tähän suuntaa. Hän kiisti ehdottomasti tehneensä mitään sensuuntaista. Seuraavana päivänä hän tuli kylään, mukanaan lahjuspullo.Hän tunnusti tehneensä tämän yrityksen ja oli yön miettimisen jälkeen tullut siihen tulokseen että oli viisainta tunnustaa, koska olisin saanut selville mistä sähköposti osoitteesta tämä oli tehty,ja tekijä olisi paljastunut. Oli erittäin ikävää mutta totuuden saaminen oli tärkeintä.Nyt epäilen että sama henkilö jotenkin hakkeroi sähköpostiani. Kai sekin on mahdollista? Todella ikäviä ihmisiä maailmasta löytyy.

Anonyymi kirjoitti...

Hei Markus! Oletko edelleen sitä mieltä että vaikka kaikki tietoturvan asiani olisi kunnossa ja FB-ssa näkee tietojani vaan FB-ystävät, voisi kuka tahansa tietämällä vaan syntymäaikani mitätöidä facebook-tilini tai hakkeroida siihen?

Anonyymi kirjoitti...

Aika helpolt kuulostaa ._.

Anonyymi kirjoitti...

Toi linkki ei oikein toimi...?

Markus Jansson kirjoitti...

Joo, on tainnut vanhentua jo reilussa parissa vuodessa... :-)