Zadzwoniła dziś do mnie koleżanka, z którą kiedyś pracowałem (jako człowiek od IT i ogólnie pojętego bezpieczeństwa), że w jej biurze rozeszła się z szybkością błyskawicy (nie wiem czy chodziło o grzmot czy błysk) informacja, że na swoje konto na Facebooku może się zalogować nawet jeśli poda się błędny adres e-mail (login).
Oczywiście wszyscy u niej w biurze rzucili się do swoich (służbowy, a jak) komputerów by najpierw się wylogować z Facebooka (w końcu dla wielu to podstawowe narzędzie pracy biurowej ;-)), a następnie zmienić literkę czy dwa w adresie e-mail spróbować się zalogować ponownie – i za każdym razem, i każdemu się udało…
No i takim sposobem dział kadr w jednej z warszawskich firm wykrył „poważną dziurę bezpieczeństwa” na Facebooku – a przynajmniej tak im się wydawało ;-)
Spis treści w artykule
Do Facebooka zalogujesz się ponownie(!) nawet jak podasz zły login (adres e-mail)
Faktycznie – tak można, to działa – ale nie jest to jakaś dziura, tylko najprawdopodobniej celowe działanie, które ma wyeliminować „zawracanie im 4 liter” przez osoby, które logując się ponownie za pomocą danej przeglądarki pomylą się w adresie e-mail.
A wierzcie mi, że logi i zgłoszenia „na helpdesku” pokazują, że jest to dość powszechne zjawisko.
Ale to nie jest tak, że wystarczy, że ktoś wpisze Wasze hasło do Facebooka, i dowolny adres by udał się proces logowania na Wasze konto.
Muszą być spełnione (łącznie) następujące warunki:
- Wcześniej już logowaliście się za pomocą tego urządzenia i przeglądarki (czyli jest ciasteczko/cookie)
- Pomylicie się w adresie (login) maksymalnie w 3 miejscach
- Podacie prawidłowe (w 100%) hasło
Teoria za nami, pora na przykłady
Załóżmy, że mój adres e-mail do konta na Facebooku to:
[email protected]
I mam takie hasło:
WebIsniderJestNajlepszy!!!11
Uda się zalogować w takich przypadkach – oczywiście poza sytuacją gdy wszystkie dane będą poprawne/zgodne w 100%:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!11
Oraz w takim:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!11
A nawet i w takim:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!11
Ale już nie uda mi się zalogować gdy pomylę się w nazwie użytkownika (adresie e-mail) o więcej znaków niż 3:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!11
Lub – o czym wcześniej pisałem – podam złe hasło, choćby o 1 znak:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!12
Oczywiście nie uda mi się to też w sytuacji gdy będę chciał zalogować się z innego/nowego komputera/przeglądarki, lub gdy moje ciasteczko (cookie), które zostawił Facebook podczas logowania zostało zjedzone ;-)
Tak więc możecie sprać spokojnie, przynajmniej jeśli chodzi o ten „problem”, choć ja zawsze polecam aktywację dwuskładnikowego uwierzytelnienia, które jest dostępne również na Facebooku.
- Home Assistant 2024.11, czyli „sekcje” domyślnym widokiem z opcją migracji, WebRTC oraz wirtualna kamera - 1970-01-01
- Black Friday w ZUS, czyli jest jeszcze kilka dni, by złożyć wniosek RWS i skorzystać z wakacji składkowych płacąc ZUS za grudzień 2024 - 1970-01-01
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01