Facebookbrugere hacket med kendt mobil-sårbarhed

Illustration: Foto: Screendump, James Martindale
Facebook insisterer på at funktionens eksistens er berettiget

Når facebookbrugere verden over skifter mobilnummer kan deres gamle nummer fortsat være tilknyttet deres Facebook-account. Dermed kan den næste indehaver af nummeret bruge telefonnummeret til at få adgang til den gamle brugers konto.

Læs også: SMS'er er for usikre til to-faktor-autentifikation: For nemt at få et nyt sim-kort

Det opdagede en ung it-interesseret ved et tilfælde, da han modtog en sms fra Facebook om, at den tidligere bruger af nummeret ikke havde været på Facebook et stykke tid.

»Jeg kan forstå, at Facebook sender en enkelt sms for at minde brugeren om, hvad de går glip af på det sociale medie. Men når Facebook igen og igen sender de her sms’er forhøjer det virkelig chancen for, at nummerskiftet misbruges af den nye indehaver af nummeret,« skriver James Martindale på medium under rubrikken ‘Jeg har lige hacket facebookaccounts med en praksis, Facebook ikke vil ændre.

Læs også: Apple bygger datacenter nummer to i Danmark ved Aabenraa

Efterfølgende har The Register spurgt Facebook, hvorfor man har den problematiske praksis. Til det svarer Facebook, at den i høj grad minder om, hvad man gør på andre sociale platforme.

Læs også: Poul-Henning Kamp: »HTTPS-over-det-hele vil tvinge regeringerne til at reagere«

Ifølge James Martindale er det et ringe argument. For Facebook tillader også brugerne at have flere numre tilknyttet den samme konto. Således havde en af de tidligere indehavere af James Martindales nummer hele seks numre koblet til sin Facebook-account.

Læs også: Facebook kan fuldt lovligt spore din færden på internettet, efter du er logget ud

»Mange af mindre mindre tekniske venner ville ikke tænke over at gå ind og fjerne mobilnumre, de ikke længere råder over. De vil bare tilføje det nye, skriver James Martindale, der er forundret over, at Facebook ikke ændrer den usikre praksis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Denny Christensen

Først og fremmest er langt de fleste brugere af eks en mobil ikke sikkerhedskyndige. Eller interesserede, for den sags skyld.

Meningen med eks mobilnumre og mange andre tiltag fra producenters side (genere betragtning) er at gøre tingene nemt for slutbruger samt sikre at en bruger nemt kan genetablere adgang til en tjeneste eks ved tab af mobil, glemt password eller andet der gør at tjenesten bliver utilgængelig.

Det er for så vidt sympatisk nok.

Men.. IT sikkerhed er bare bøvlet, det må vi se i øjnene. Login med password, bekræftelse via SMS, alt andet der gør en tjeneste sikker gør den også en kende mindre nemt tilgængelig. Og lad os bare sige det som det er: De fleste brugere er fuldstændigt ligeglade fordi de ikke kan se de potentielle risici der er ved mindre sikkerhed.

Så til spørgsmålet: Hvem skal sikre sikkerheden? I dette tilfælde er det Facebook der via et mobil nr kan sikre at en bruger kan komme på sin konto. Det er fint, men når der sendes reminders ud fordi tjenesten ikke er brugt et stk tid, det sker eks for mig selv at Facebook ikke lige besøges hver dag, så er der et potentielt risiko brud som Facebook i hvert fald kender til. Så det må jo være op til Facebook at sikre sikkerheden og tvinge brugeren.

Det var nemt. Det er bare ikke rigtigt - for når en tjeneste eller app bliver bøvlet, så ryger den væk igen. Når en bruger hver 15 min skal indtaste sit password som skal være 10 karakterer med specieltegn etc etc så ryger den væk igen. Når brugeren skal kontakte udbyder for at blive låst op så rygen den væk. I det hele taget ryger den væk hvis den ikke bare er nem.

Så må det jo være brugeren selv der skal styre sikkerhed? Ja der var den. Hvis altså ikke lige at præmissen var at brugeren ikke er klædt på til den opgave og heller ikke har eller kan få de fornødne kompetencer.

OK - den var værre. Så er vi ude i at der skal lovgives. Og kontrolleres at loven overholdes. Det ved vi jo også godt ikke fungerer. For hvor markedskræfterne styrer vil pengene i form af antal aktive brugere styre mere end sikker adgang. Og der skal ske et brud af alvorlig karakter før der gøres noget (snapchat er et eksempel) og så gå der som regel ikke så lang tid før det igen er glemt. Skaden er sket for brugerne, eks de mange lækkede billeder der vil forfølge personerne resten af deres liv, eller de identitetstyverier der igen og igen skal forklares når der skal lånes penge til hus, bil eller babyværelse.

Tilbage til spørgsmålet: I min verden skal brugerne (forbrugerne) beskyttes ved at loven tilsiger sikker adgang. Så må apps blive lidt bøvlede. Og udbydere skal have bøder eller forbud mod at drive virksomhed hvis loven ikke overholdes. EUs store bøder til større virksomheder er nok vejen frem, det vil lukke mindre virksomheder og måske?? sikre at udbydere sikrer en sikker adfærd.

Og nej, jeg har ikke et mobilnr tilknyttet min Facebook konto af præcist samme årsager som beskrevet ovenfor. Til gengæld er mit password så bøvlet og kun brugt til Facebook at jeg har været 10 dage om at logge ind på et tidspkt, fordi jeg ikke kunne huske det og ikke ville have det tilsendt :-) Man er vel IT mand...

  • 1
  • 0
Log ind eller Opret konto for at kommentere