„Meta“ ištaisė kritinę „Facebook“ saugumo spragą: piktavaliai galėjo nesudėtingai pasisavinti bet kurio vartotojo paskyrą, už klaidos aptikimą – įspūdinga premija

Lukas Snarskis

2024-03-22, 10:55 (atnaujinta 2024-03-22, 12:09)

1 komentaras

„Meta“ dažnai pasidalina rezultatais apie savo naujausias pastangas identifikuoti ir užkirsti kelią kenkėjiškų programų kampanijoms, kurios taikėsi į socialinių tinklų vartotojus. Bendrovės saugos komandos naudojo įvairius metodus kovai su kenkėjiškomis programomis.

Gaukite ‎100€ kuponų rinkinį ir 30% nuolaidą pirmam apsipirkimui „Temu“ parduotuvėje
„Meta“ ištaisė kritinę „Facebook“ saugumo spragą: piktavaliai galėjo nesudėtingai pasisavinti bet kurio vartotojo paskyrą, už klaidos aptikimą – įspūdinga premija

JAV bendrovė valdo tokius socialinius tinklus kaip „Facebook“ ar „Instagram“, o neseniai buvo ištaisytas svarbus pažeidžiamumas, kuris piktavaliams galėjo leisti perimti bet kurios „Facebook“ paskyros kontrolę, praneša kibernetinio saugumo tyrėjai.

Informaciją apie buvusį pažeidžiamumą atskleidė Nepale gyvenantis kibernetinio saugumo specialistas Samipas Aryalas. Dėka šios spragos identifikavimo jis atsidūrė ir „Facebook“ programos už klaidų aptikimą viršūnėje. Anksčiau jis rikiavosi 27 vietoje, tačiau dabar pakilo į pačią viršūnę.

Pasak S. Aryalo, pažeidžiamumas turėjo įtakos „Facebook“ slaptažodžio keitimo procesui, ypač galimybei, kai šešiaženklis unikalus autorizavimo kodas siunčiamas į kitą įrenginį, prie kurio vartotojas yra prisijungęs. Šis kodas pateikiamas siekiant patvirtinti naudotojo tapatybę ir naudojamas slaptažodžio keitimo procesui užbaigti.

Išanalizavus naršyklės siunčiamą užklausą, kai buvo naudojama ši slaptažodžio keitimo parinktis, paaiškėjo, kad unikalus kodas buvo aktyvus maždaug dvi valandas ir nebuvo naudojamos jokios papildomos apsaugos.

Užpuolikui tereikėjo žinoti tikslinio asmens „Facebook“ vartotojo vardą ir jis galėjo naudoti penkiaženklį testavimo įrankį, pavyzdžiui, „Burp Suite“, kad išmuštų šešiaženklį kodą, kuris leistų jam iš naujo nustatyti tikslinės paskyros slaptažodį arba tiesiog prisijungti prie jos.

Pasinaudojus šiuo pažeidžiamumu, tikslinis naudotojas gautų pranešimą iš „Facebook“. Šiame pranešime tiesiogiai rodomas šešiaženklis kodas arba prašoma bakstelėti pranešimą, kad pamatytų kodą - šis antrasis variantas paverstų jį vieno spustelėjimo, o ne nulinio spustelėjimo išnaudojimu.

Skelbiama, jog saugumo specialistas „Meta“ atstovus apie aptiktą spragą informavo sausio 30 dieną, o „Facebook“ esantis saugumo pažeidžiamumas buvo ištaisytas jau vasario 2 dieną. Tiesa, viešai nėra paskelbta kiek galėjo uždirbti Nepale gyvenantis ekspertas.

„Meta“ pateikiama informacija atskleidžia, kad išmokos už saugumo spragų aptikimą svyruoja nuo 5 tūkst. iki 130 tūkst. JAV dolerių. Didžiausia suma dažniausiai skiriama už pažeidžiamumus, kurie yra susiję su paskyrų perėmimo galimybėmis, o būtent tokį spragą ir aptiko S. Aryalo.

1 komentarų

Edvinas

Man iš vis facebook'o politika žydo verslininko yra nesuvokiama. Fb neteikia niekad techninės pagalbos paprastam eiliniam vartotojui, jei jo paskyrai kažkas atsitinka atseit darbuotojų neužtenka kai jų buvo ~ 100 000. Kai įvyko epidemija dabar liko ~ 66 000 ir jau kai Ukrainoje iš kart atsirado darbuotojų kurie galėtų šalinti tam tikra informaciją ir postus. Ką tai sako. Bardas ir tiek.

Rašyti komentarą

Prašome gerbti kitus komentatorius. Gerų diskusijų! Apsauga nuo robotų rūpinasi reCAPTCHA ir yra taikoma „Google“ privatumo politika ir naudojimosi sąlygos.

Taip pat skaitykite

Seimas svarstys pakeitimus, kurie patiks senų automobilių vairuotojams: už šį pažeidimą gali pavykti išsisukti su įspėjimu, sužinokite, kas svarstoma

Pranešimas spaudai

2024-04-19, 19:54

0 komentarų

Seimas pradėjo svarstyti du Administracinių nusižengimų kodekso keitimo projektus, kuriais siekiama švelninti administracinę atsakomybę už automobilių keliamą taršą keliuose. Projektus parlamento posėdyje pristatė Seimo nariai Algirdas Stončaitis ir Aistė Gedvilienė.

Gaukite ‎100€ kuponų rinkinį ir 30% nuolaidą pirmam apsipirkimui „Temu“ parduotuvėje
Seimas svarstys pakeitimus, kurie patiks senų automobilių vairuotojams: už šį pažeidimą gali pavykti išsisukti su įspėjimu, sužinokite, kas svarstoma

Seimas pradėjo svarstyti du Administracinių nusižengimų kodekso keitimo projektus, kuriais siekiama švelninti administracinę atsakomybę už automobilių keliamą taršą keliuose. Projektus parlamento posėdyje pristatė Seimo nariai Algirdas Stončaitis ir Aistė Gedvilienė.

Gaukite ‎100€ kuponų rinkinį ir 30% nuolaidą pirmam apsipirkimui „Temu“ parduotuvėje

Šiuo metu už transporto priemonių, kurių į aplinkos orą išmetamų teršalų kiekis viršija nustatytus ribinius dydžius, ar su neveikiančia gamintojo numatyta išmetamųjų dujų neutralizavimo sistema eksploatavimą numatyta atsakomybė: asmenims – 100–300 eurų (už pakartotinį 300–500 eurų), juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–500 eurų (už pakartotinį 600–900 eurų).

Abiem teikiamais projektais siūloma fiziniams asmenims nustatytą atsakomybę už transporto priemonių, kurių į aplinkos orą išmetamų teršalų kiekis viršija nustatytus ribinius dydžius, papildyti švelnesne nuobaudos rūšimi – įspėjimu.

„Įspėjimu siekiama, kad asmuo daugiau nenusižengtų ir galėtų pasitaisyti. Jis skiriamas, kai asmuo nusižengia pirmą kartą, supranta savo nusižengimo esmę, gailisi dėl savo padaryto teisės pažeidimo arba yra kitokių jo kaltę švelninančių aplinkybių ir yra netikslinga taikyti griežtesnę poveikio priemonę“, − pažymi projekto iniciatorius, Seimo narys A. Stončaitis aiškinamajame rašte.

Pasak jo, dažnu atveju transporto priemonės vairuotojas nežino, kad galimai daro pažeidimą, nes jo vairuojamas automobilis neišmeta matomų dūmų, o automobilio davikliai nerodo galimo gedimo.

Alternatyvaus projekto rengėja, Seimo narė A. Gedvilienė, pristatydama iniciatyvą dėl įspėjimo įteisinimo, tikino, kad 48 valandos tikrai nėra patogus laikas žmogui susitvarkyti automobilį, užsiregistruoti ir atlikti techninę jo apžiūrą. „Mūsų misija šiandien sumažinti įtampas visuomenėje, kad nebūtų žmonės gąsdinami, kad nebijotų, kad jų automobilis bus konfiskuotas, nes niekada tokio dalyko ir nebuvo siūloma teisės aktuose“, − teigė politikė Seimo posėdyje.

Seimas nuo šių metų pradžios aplinkos apsaugos valstybinės kontrolės pareigūnams yra suteikęs teisę stabdyti transporto priemones ir tikrinti jų į aplinką išmetamų teršalų atitiktį techniniams motorinių transporto priemonių ir jų priekabų reikalavimams, taip pat panaikinti motorinių transporto priemonių ir priekabų, kurių į aplinką išmetami teršalai neatitinka techninių reikalavimų, privalomosios techninės apžiūros dokumentų galiojimą.

Pritarus projektams (Nr. XIVP-3626, Nr. XIVP-3628) po pateikimo, toliau jie bus svarstomi pagrindiniu paskirtame Teisės ir teisėtvarkos komitete. Prie šio klausimo svarstymo Seimo posėdyje planuojama grįžti birželio 6 d.

0 komentarų

Rašyti komentarą

Prašome gerbti kitus komentatorius. Gerų diskusijų! Apsauga nuo robotų rūpinasi reCAPTCHA ir yra taikoma „Google“ privatumo politika ir naudojimosi sąlygos.

Hey.lt - Nemokamas lankytojų skaitliukas