アナンド・プラカッシュさん(Anand Prakash)が月曜にブログで報告したのは、フェイスブックで他人のパスワードを取得する方法を見つけたという話。
Facebook のパスワードを忘れた時の再取得の手順は以下のようなものです。
- 電話番号かメールアドレスを入れる
- 送られてきた6桁の数字を本人の証明として入力
- 新しいパスワードを設定する画面に行ける
3でデタラメな数字を入れ続けると、10-12回ぐらい失敗した時点でブロックされてしまうそうです。ですので、6桁の数字を総当たりで試すことなどできないはず(=安全)なのですが、
- beta.facebook.com
- mbasic.beta.facebook.com
というfacebookに同じようにアクセスできるサブドメインでこれを行った場合、失敗してもブロックされないのを見つけた、というのです。
何回でも試せるので、10万回繰り返すスクリプトを回し、(他人のパスワードを本当に変えると犯罪なので)自分のアカウントのパスワードの再設定ができることを確認した、ということ。
こちらがデモ動画
Facebook への報告が2月22日、翌23日には修正を確認したということで、もちろん現在はこの手は使えません。
プラカッシュさん、3月2日には、Facebook からセキュリティホール発見の報奨金として$15000(165万円) を受け取ったということです。
ものすごい技術力がある、とかでもなく、beta. というアクセスができる別の入口を知っていた、とか、そこでたまたま試してみた、とか、こんな形でのセキュリティホール発見もあるんですね。これで$15000(165万円) 貰えるのは嬉しいだろうな、とは思いますが、もしこの hack が本格的に悪用されていたらどれぐらいの損害を被っていたかと思うと、Facebook には安く上がったと言えるのではないでしょうか。
もし2月23日以前に「変えた覚えがないのにパスワードが変わってた」ということがあった人は、気づくまでの間に同じ手口でアカウントにアクセスされていた可能性もゼロではないですね。